У вашей организации базовый уровень безопасности в категории документации и политики; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению безопасности вашей организации.

Что мы рекомендуем:

Задокументируйте свою политику безопасности и план действий на будущее.

Как у зарегистрированной новостной организации, у вас, вероятно, есть стратегические документы, политики и планы по достижению ваших основных целей. Теперь, когда вы сосредоточились на повышении безопасности, пришло время также разработать политику и дорожную карту безопасности.

Политика безопасности описывает уже внедренную операционную деятельность по обеспечению безопасности. В свою очередь, дорожная карта безопасности — это документ о перспективах развития, в котором излагаются среднесрочные и долгосрочные цели вашей политики безопасности. 

К счастью, все это не так сложно, как может показаться. Конечно, некоторые организации разрабатывают целый ряд сложных политик и планов по безопасности, но вы можете начать с чего-то гораздо более простого.

Ключевые шаги к успешному документированию политики безопасности:

• Задокументируйте все действия по противодействию угрозам безопасности, которые в настоящее время выполняют более 80% ваших сотрудников. 
• Проведите честную оценку вашего текущего подхода к угрозам безопасности. 

Чем честнее будет политика безопасности, тем больше ваша организация сможет усовершенствоваться. Если вы будете откровенны, вы сможете найти в организации моменты, требующие совершенствования. Например, вы можете обнаружить, что лишь часть сотрудников использует приобретенный вами инструмент кибербезопасности или соблюдает ваши требования по физической безопасности. Проанализировав имеющуюся политику безопасности и определив пробелы, требующие восполнения, вы можете приступить к составлению дорожной карты безопасности.

Ключевые шаги при разработке дорожной карты безопасности: 

• Осознайте и определите свои основные угрозы и риски (см. раздел Анализ рисков и оценка угроз).
• Сопоставьте существующую политику с ключевыми угрозами — это поможет определить, чего не хватает в вашем подходе к обеспечению безопасности.
• Задокументируйте, что вы хотели бы реализовать в будущем, чтобы улучшить свой подход к безопасности.

Когда будете готовы создать свою первую политику безопасности, можете воспользоваться весьма полезным инструментом SOAP, который позволяет создать политику, ответив на ряд вопросов. 

Помните также, что безопасность новостной организации должна распространяться не только на ваших сотрудников, но и на ваши источники. Если вы создаете новую политику безопасности, обязательно включите в нее шаги, которые вы планируете предпринять для защиты личности и личной безопасности источников. 

У вашей организации адекватный уровень безопасности в категории документации и политики. Молодцы! Вам еще есть над чем работать, поэтому мы собрали несколько рекомендаций, чтобы вывести безопасность вашей организации на новый уровень.

Что мы рекомендуем:

Начинайте требовать соблюдения правил.

Вы потратили время и ресурсы на создание политики и дорожной карты безопасности вашей организации. Но, несмотря на все ваши усилия, вы замечаете, что некоторые сотрудники не всегда соблюдают правила. Это обычное дело, особенно в организациях, где безопасность не является ключевым компонентом культуры сотрудников. 

Не волнуйтесь; интеграция «мышления безопасности» в организацию возможна, пусть и требует много времени. Один из наиболее эффективных способов заставить сотрудников задуматься о безопасности — это постепенно вводить концепции безопасности в ваш повседневный рабочий процесс, пока они не станут для ваших сотрудников привычной частью работы. 

Вот одна из стратегий, которая поможет вашим сотрудникам включить политики безопасности в свою деятельность.

1. Определите эффективный способ оценки соответствия персонала требованиям в тех областях, которые вы хотите улучшить. Например, вы можете проводить еженедельные проверки, или сделать определенные практики обязательными для выполнения к определенной дате. 

2. Соберите руководство организации и попросите определить «самые слабые звенья» (людей, не соблюдающих значительную часть политики безопасности).

3. Назначьте эти «слабые звенья» ответственными за простые задачи — например, за проверку, соблюдают ли их коллеги базовые требования политики безопасности.

4. Поощряйте изменения в лучшую сторону, особенно среди сотрудников, которые ранее не соблюдали правила — используйте похвалу и другие методы мотивации. Проявляйте эмпатию.

5. Не наказывайте за то, что требования внедряются медленно или недостаточно старательно. Безопасность пугает многих людей; им может понадобиться время на обучение. После определенной заранее объявленной даты или времени отключите сервисы (например, электронную почту, вход в систему и т.д.) пользователям, которые не соблюдают правила. Если сотрудники не соблюдают политику физической безопасности, отнимите у них определенные привилегии (например, переместите их в общий офис). Некоторые сервисы, такие как двухфакторная аутентификация, можно просто сделать обязательными. Будьте готовы предоставить дополнительную поддержку, когда это произойдет. 

6. Проведите с сотрудниками кабинетные учения, чтобы они лучше осознали риски, связанные с несоблюдением политики.

7. Рассказывайте новости о других организациях, сталкивающихся с угрозами безопасности — это дополнительная возможность для обучения ваших сотрудников. Подчеркивайте, что и ваша организация может столкнуться с подобными угрозами. 

8. Снова выполните фазу оценки. 

Если дело продвигается медленно, не волнуйтесь. Для полного осуществления организационных изменений может потребоваться год, или даже больше. Продолжайте постепенную работу над этим процессом.

У вашей организации повышенный уровень безопасности в категории документации и политики. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на еще более высокий уровень. 

Что мы рекомендуем:

Регулярно обновляйте свою политику и дорожную карту.

В вашей организации внедрены надежные политики и процедуры безопасности, а ваши сотрудники осознают важность безопасности в своей повседневной работе. Однако важно помнить, что по мере развития угроз даже самая надежная политика безопасности и дорожная карта постепенно устаревают.

Поэтому мы рекомендуем рассматривать вашу политику и дорожную карту по безопасности как «живые» документы, которые необходимо регулярно обновлять, чтобы противостоять новым рискам и угрозам. Обновление этих документов не требует значительных усилий, но должно проводиться регулярно. 

Одна из стратегий обновления политик и дорожных карт состоит в том, чтобы создать в организации структуру по управлению безопасностью.

1. Создайте рабочую группу для исследования новых угроз, рисков и стратегий по мере их появления. Пусть эта группа примет решение, с какой частотой собираться для совещаний — раз в месяц, квартал, полгода или год. 

2. Разработайте критерии для внедрения в работу новых процессов. Прежде чем внедрять новое программное ПО или метод обеспечения безопасности, рабочая группа должна удостовериться, что это решение соответствует вашей существующей политике безопасности или дорожной карте. 

3. Назначьте сотрудника, который будет отвечать за обновление политики на основе обратной связи, полученной от рабочей группы. 

Помните, что с изменением внешних факторов должна изменяться и политика безопасности, так же как ваша организация меняет цели и подходы для решения новых задач. 

У вашей организации базовый уровень безопасности в категории внутренних рисков; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению безопасности вашей организации.

Что мы рекомендуем:

Проверьте физическую и цифровую безопасность организации.

Ваши сотрудники и источники имеют решающее значение для миссии вашей организации. Но иногда, преднамеренно или непреднамеренно, их решения и действия могут поставить вашу организацию под угрозу. Это особенно актуально в условиях современного цифрового мира, где непродуманный клик или пропущенная настройка безопасности могут сделать уязвимым всех сотрудников (а также людей, от которых они получают информацию). 

Один из самых простых способов проверить вашу безопасность — это составить базовый контрольный список методов физической и цифровой безопасности, которым могут следовать ваши сотрудники. 

По цифровой безопасности рекомендуем советы для устройств Windows, а здесь — советы для устройств Mac.

Что касается физической безопасности, вот рекомендации для журналистов, освещающих события как у себя в стране, так и за рубежом. 

Не забывайте, что меры защиты также должны распространяться на источники. Убедитесь, что меры по защите источников включены в контрольный список по безопасности.

Выполнив контрольный список, сотрудник может подписать акт, свидетельствующий, что были предприняты базовые шаги по соблюдению политики. Руководитель также может подписать этот акт, подтверждая, что контрольный список выполнен. Эти документы можно хранить в личном деле сотрудника. 

У вашей организации адекватный уровень безопасности в категории внутренних рисков. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на еще более высокий уровень.

Что мы рекомендуем:

Прямо укажите обязанности по безопасности в трудовых договорах.

Ваши сотрудники активно следят за собственной безопасностью и понимают важность соблюдения политики безопасности организации. Возможно, они периодически встречаются с непосредственными руководителями, чтобы обсудить проблемы с безопасностью и заполнить необходимые контрольные списки безопасности. 

Теперь можно включить обязанности по безопасности в их должностные инструкции. Это помогает подчеркнуть, что безопасность — не только часть рабочего процесса, но и одна из ключевых обязанностей сотрудника организации. Один из эффективных путей — включить в трудовой договор четкие, понятные и соответствующие действительности формулировки о конфиденциальности и безопасности. Мы рекомендуем охватить следующие темы:

Обязанности по защите: какую ответственность вы, как новостная организация, несете по защите своих сотрудников и их источников? Какие обязанности ваши сотрудники несут за свою безопасность и безопасность своих источников?

Данные: какие обязанности у сотрудников в отношении данных вашей организации, и у вашей организации в отношении их данных? 

Условия использования: какие правовые механизмы регулируют использование вашими сотрудниками технологий, особенно программного обеспечения, оборудования или систем, которыми владеет ваша организация?

Политика допустимого использования: когда сотрудники получают доступ к внутренним системам вашей организации, каким политикам и инструкциям они должны следовать?

Политика адаптации: каким образом сотрудники должны получить информацию о безопасности, начав работать в организации?

Политика при увольнении: какие шаги необходимо предпринять, когда сотрудник увольняется из вашей организации?

Вы можете привлечь юриста, который поможет вам это сформулировать. Также можно включить и другие разделы, непосредственно относящиеся к вашей ситуации. Помните: цель здесь в том, чтобы сформулировать все максимально ясно и информативно, а не перегружать ваших сотрудников юридической терминологией. Постарайтесь по возможности ограничить трудовые договоры одной страницей, включая контрольный список; договор должен быть подписан сотрудником и его непосредственным руководителем.

У вашей организации повышенный уровень безопасности в категории внутренних рисков. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на еще более высокий уровень. 

Что мы рекомендуем:

Подумайте о системах управления устройствами.

Ваши сотрудники обсуждают с руководством риски безопасности, а также ознакомились с требованиями по безопасности в своих трудовых договорах. 

Однако даже самые информированные и заинтересованные сотрудники могут допускать ошибки. Одна из наиболее частых ошибок сотрудников — это когда оказывается, что цифровое устройство с чувствительной информацией украдено, конфисковано, потеряно или повреждено. Это особенно существенно, если устройство использовалось журналистом для связи с источниками или для хранения информации, связанной с их материалами. 

Вот почему мы рекомендуем найти метод работы с цифровыми устройствами, соответствующий ценностям и целям вашей организации. 

Например, программное обеспечение, известное как платформы «управления устройствами», может позволить организациям удаленно управлять рабочими устройствами. Удобство и повышенная безопасность, которую обеспечивают инструменты управления устройствами — их несомненное преимущество; но помните, что нужно стремиться к балансу безопасности и конфиденциальности сотрудников. 

Среди инструментов управления устройствами — Google Devices из G Suite, Apple Mobile Device Management и Prey, которые позволяют отслеживать и удаленно стирать данные на устройствах, а также решения от таких компаний, как IBM, Citrix и VMWare.

Поставщик технических услуг также может помочь вам наладить использование этих инструментов, чтобы устройства, принадлежащие организации, соответствовали политикам безопасности, или чтобы ограничить возможность ваших сотрудников устанавливать собственное программное обеспечение или изменять настройки. 

У вашей организации базовый уровень безопасности в категории обучения и поддержки сотрудников; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению безопасности вашей организации.

Что мы рекомендуем:

A. Определите ожидаемый уровень знаний в области безопасности.

Ваши сотрудники увлечены, целеустремлены, мотивированы и трудолюбивы. Они — опытные журналисты, любящие свою работу. Однако, скорее всего, они не специалисты по безопасности. И как бы ни хотелось считать, что большинство сотрудников уже имеет базовую подготовку по безопасности, на самом деле это не всегда так.

Вместо предположения, будто ваши сотрудники уже разбираются в основах безопасности, предположите обратное — что вы начинаете с чистого листа. Исходя из этого предположения, можно предпринять ряд эффективных шагов:

B. Ознакомьтесь с основами кибербезопасности. Отличные ресурсы для начинающих —  Учебная программа по самообороне от слежки, подготовленная Electronic Frontier Foundation, и  Data Detox Kit от Tactical Tech.

C. Ознакомьтесь с основами физической безопасности. Хорошие ресурсы для начинающих — Руководство по безопасности журналистов от Комитета по защите журналистов и Справочник для журналистов в кризисных зонах  от Института по освещению войны и мира. 

D. Начните обучение. При необходимости обратитесь к поставщику услуг по безопасности с заказом на тренинг по передовым практикам для ваших сотрудников. Возможно, вам придется работать с разными тренерами по физическим и цифровым рискам; при этом хороший тренер должен понимать, что оба вида рисков взаимосвязаны. 

Тренеров можно привлечь из частного сектора или благодаря партнерству с такими организациями, как GIJN, Фонд свободы прессы или Access Now. 

E. Передавайте сотрудникам информацию о вызовах безопасности, с которыми ваша организация столкнулась в прошлом. В быстроразвивающихся организациях новые поколения сотрудников не всегда знают об инцидентах безопасности, произошедших в прошлом — поэтому не все сотрудники осознают риск. Документируйте такие случаи как можно подробнее, чтобы информировать сотрудников. 

Получив эту информацию, новые сотрудники будут в равных условиях с остальными.

У вашей организации адекватный уровень безопасности в категории обучения и поддержки сотрудников. Молодцы! Вам еще есть над чем работать, поэтому мы собрали несколько рекомендаций, чтобы вывести безопасность вашей организации на новый уровень.

Что мы рекомендуем:

Обучайте сотрудников небольшими порциями.

Ваши сотрудники — занятые профессионалы. Важно помнить, что большую часть услышанного, прочитанного и увиденного на тренингах они забудут. Особенно это актуально для журналистов, которым нужно сдавать материалы в сжатые сроки.

Вот почему повторение ключевых моментов небольшими порциями — одна из самых эффективных стратегий обучения сотрудников, постоянно загруженных работой. Начните с определения наиболее важных действий, привычек и инструментов, которые вашим сотрудникам необходимо понимать и применять. 

Затем постепенно вводите учебные занятия в рабочий процесс организации. Возможно, это будет ежемесячное часовое повторение основ безопасности, или еженедельные практические занятия в обеденный перерыв. Если же организовать тренинг на целый день, это нарушит рабочий процесс и может привести к утомлению и перегрузке сотрудников. Вместо этого желательно проводить небольшие занятия, чтобы материал был понятен и не забывался. 

У вашей организации повышенный уровень безопасности в категории обучения и поддержки сотрудников. Молодцы! Вам еще есть над чем работать, поэтому мы собрали несколько рекомендаций, чтобы вывести безопасность вашей организации на новый уровень. 

Что мы рекомендуем:

Создайте базу знаний. 

Обучение — личное и онлайн — помогает освоить ключевые идеи. Но для повышения безопасности вашей организации одного обучения мало. Необходимо создать институционализированную версию этих знаний, к которой любой сотрудник сможет получить доступ в любое время. 

Хорошим промежуточным решением может быть несложный онлайн-опросник, сопровождаемый 2–3-минутным видео с информацией для повторения — это поможет проверить и освежить знания сотрудников. 

В качестве альтернативы можно воспользоваться широкодоступными цифровыми инструментами для обучения, иногда известными как системы управления обучением (LMS). Мы предпочитаем варианты с открытым исходным кодом, такие как Moodle и ILIAS, или коммерческие продукты, такие как LearnDash (для системы управления содержимым WordPress) и Docebo.

Возможно, для внедрения этого инструмента потребуется привлечь поставщика технической помощи, но эта инвестиция может оказаться весьма полезной. Хорошо спроектированная LMS — это не только доступ к урокам по безопасности. Ваши сотрудники смогут находить ответы на срочные вопросы, не обращаясь к инструктору. Большинство платформ LMS также предоставляют механизм оценки прогресса учащихся, так что вы сможете отслеживать, как ваши сотрудники осваивают материал. 

Если вы предпочитаете нетехническую альтернативу, рассмотрите возможность использования карточек или других печатных материалов для проведения в офисе импровизированных совещаний по безопасности. Для проведения занятий длительностью 5-10-минут будет достаточно колоды карточек с вопросами по безопасности. 

У вашей организации базовый уровень безопасности в категории безопасности в командировках; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению безопасности вашей организации.

Что мы рекомендуем:

A. Осознайте риски.

Командировки — это прекрасная возможность, благодаря которой журналисты могут поработать за рамками привычной рутины. Однако в командировках — за приделами дома или офиса — не получается следовать наработанным привычкам, связанным с безопасностью. Поэтому возникает риск, если сотрудник берет с собой в командировку рабочие устройства или осуществляет доступ к конфиденциальной информации. Даже потеря личных устройств может создать угрозу для вашей редакции, сотрудников и источников. 

B. Разработайте политику безопасности в командировках.

Хотя большинство сотрудников, вероятно, осведомлены о рисках, связанных с командировками, важно подчеркнуть, насколько они уязвимы, когда работают вдали от дома. Например, откровенно обсудите последствия потери рабочего устройства во время командировки. Еще несколько тем, которые следует охватить:

• Что делать сотрудникам и организации в случае потери или кражи рабочего устройства? 
• Застрахованы ли устройства сотрудников вашей организации на время командировок?
• Как сотрудникам выполнять резервное копирование данных со своих устройств и при необходимости восстанавливать их?
• Каков процесс пересечения границы с рабочими устройствами или данными?
• Что делать в случае командировок в районы с низким уровнем доступа к Интернету или вообще без него?
• Как сотрудникам выбирать безопасное жилье и наземный транспорт?
• Каков процесс безопасных встреч с источниками?
• Как часто сотрудники будут созваниваться с главным офисом во время поездок? Что следует делать, если сотрудник не выходит на связь?
• Если эти темы подробно обсудить заранее, это поможет избежать рисков и улучшить политику безопасности в командировках.

C. Подумайте о внедрении политики по использованию устройств в командировках. 

Конечно, у каждой организации свои особенности, а риски в разных странах и регионах могут значительно отличаться. Тем не менее, подумайте об установлении политики использования рабочих устройств во время командировок. Часто это одна из наиболее уязвимых областей, на которую нацелены внешние субъекты.

Некоторые организации предпочитают выполнять предварительную подготовку устройств перед отъездом, удаляя конфиденциальную информацию и некоторые приложения, так чтобы на время командировки остались только самые необходимые сервисы. В других организациях сотрудникам вообще запрещено брать с собой в командировки рабочие и личные устройства: им выдают специальные устройства для работы в командировках.

Чтобы определиться, какое решение лучше подойдет для вашей организации, проконсультируйтесь с поставщиком услуг безопасности. 

D. Если возможно, приобретите страховку на время командировки. 

Хотя это связано с дополнительными затратами, следует постараться предоставить сотрудникам надлежащее страховое покрытие на случай травм и несчастных случаев во время работы за пределами вашей страны. В некоторых случаях может оказаться, что у вашей организации есть право на скидку при страховании сотрудников на время работы за границей.

У вашей организации адекватный уровень безопасности в категории безопасности в командировках. Молодцы! Вам еще есть над чем работать, поэтому мы собрали несколько рекомендаций, чтобы вывести безопасность вашей организации на новый уровень.

Что мы рекомендуем:

A. Начните пользоваться облачным хранилищем.

Ваши сотрудники понимают риски, связанные с командировками; вы проинформировали их о политике вашей организации, определяющей правила безопасности в командировках. Возможно, вы даже решили выдавать сотрудникам отдельные устройства на время командировок.

Теперь вы можете усилить меры предосторожности, предпринимаемые вашими сотрудниками во время командировок. 

С точки зрения кибербезопасности, одним из наиболее эффективных способов защиты от кражи или повреждения устройства во время командировок является хранение данных в облаке. Существует множество облачных сервисов для хранения данных; во время командировок мы рекомендуем пользоваться теми, в которых предусмотрено шифрование. 

Среди них — американский сервис SpiderOak One и швейцарский сервис Tresorit. При использовании собственного хостинга можно воспользоваться NextCloud или OwnCloud. В качестве альтернативы вы можете локально шифровать свои данные с помощью таких инструментов, как Cryptomator, и хранить их в незашифрованном хранилище, таком как Dropbox или Google Диск. (Файлы на Google Диске и других популярных сервисах зашифрованы, но поставщик облачного хранилища может предоставить к ним доступ в ответ на юридический запрос.) 

B. Проверяйте свои зарубежные контакты.

В целях обеспечения физической безопасности рассмотрите возможность дополнения своей политики безопасности в командировках проверкой доверенных фиксеров, гостиниц и других логистических услуг, прежде чем ваши сотрудники отправятся в командировку. В этом процессе вам могут помочь такие ресурсы, как «Полевое руководство по безопасному проживанию» от поставщика услуг безопасности Spartan9. Если журналисты из вашей организации едут в новый регион, свяжитесь с новостными редакциями и некоммерческими партнерами на местах для получения рекомендаций о надежных контактах. 

Вам также может понадобиться поставщик услуг безопасности, который поможет улучшить политику безопасности в командировках. 

У вашей организации повышенный уровень безопасности в категории безопасности в командировках. Молодцы! Вам еще есть над чем работать, поэтому мы собрали несколько рекомендаций, чтобы вывести безопасность вашей организации на новый уровень. 

Что мы рекомендуем:

Вы добились значительных успехов в обеспечении безопасности своих сотрудников и данных во время командировок. Вот следующие шаги, которые мы рекомендуем. 

A. Используйте для командировок отдельные устройства.

Чтобы повысить безопасность в командировках, подумайте о том, чтобы выделить для командировок отдельные устройства. Это потребует вложения времени и денег, а также создания новых политик безопасного использования этих устройств. Однако при эффективном использовании устройства для командировок могут значительно снизить риск, даже если они попадут в чужие руки. 

B. Определите, какие устройства необходимы в командировках, и разработайте политику их использования. 

Определите типы устройств для использования сотрудниками в полевых условиях. Если в командировках им обычно нужен портативный компьютер, рассмотрите надежные, но недорогие альтернативы, например Chromebook. Что касается смартфонов, рассмотрите модель, в которой есть только те функции, которые необходимы для работы. 

Определив типы устройств, подходящие для вашей организации, вам будет нужно разработать четкую политику и процесс обращения с устройствами для командировок до, во время и после их использования. Скорее всего, у вас будет предусмотрен процесс подготовки устройства перед отъездом. Возможно, вы также запланируете, чтобы сотрудник, который пользовался устройством в командировке, отчитывался о его использовании после возвращения — о том, возникали ли в процессе работы какие-либо проблемы. И наконец, нужно будет стирать данные с устройства до и после поездки. 

Каждый из этих этапов управления устройством может занять много времени, поэтому их следует подробно описать в письменном виде. Возможно, для эффективного внедрения этого процесса вам потребуется помощь поставщика услуг безопасности. 

Кроме того, вы можете поручить поставщику услуг безопасности настроить для вас «виртуальную машину». Это позволит вам получать доступ с рабочего компьютера к другому устройству через веб-браузер и специальное программное обеспечение, такое как VMWare Work Station Player (Linux / ПК), Fusion (Mac) или VirtualBox. Для этого потребуется подключение к Интернету, так что этот метод подойдет не для всех командировок. Спросите у поставщика услуг безопасности, подойдет ли вам этот вариант. 

C. Пользуйтесь поддержкой других организаций.

Если ваши сотрудники едут в регионы с высоким уровнем риска, подумайте о том, чтобы обратиться в такую организацию, как Репортеры без границ — у них можно получить необходимые ресурсы, в том числе взять напрокат средства индивидуальной защиты.

Другие аналогичные организации, которые могут помочь вашим сотрудникам как в родной стране, так и за рубежом — ACOS Alliance, Article 19, Комитет по защите журналистов, International News Safety Institute, Free Press Unlimited и RISC (Репортеры, обученные спасать своих коллег). Журналисты-фрилансеры могут обратиться за дополнительными ресурсами в Rory Peck Trust. 

У вашей организации базовый уровень безопасности в категории безопасности данных; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению кибербезопасности вашей организации.

Что мы рекомендуем:

A. Подумайте, что представляет собой ценность и как это защитить.

Данные пульсируют в наших цифровых системах, будто кровь в кровеносной системе. В данных вашей организации содержится невероятный объем информации — иногда тривиальной (например, напоминание календаря о запланированном обеде), а иногда важной (например, заметки по вашему недавнему журналистскому расследованию). 

У многих людей во многих организациях есть доступ к огромным объемам данных, зачастую значительно более обширных, чем реально необходимо для надлежащего выполнения их работы. Однако, получив такой доступ, злоумышленник может нанести значительный ущерб. Один из эффективных способов снизить цифровой риск в вашей организации — это уменьшить доступ к ненужным данным.

Если вы только приступаете к вопросу управления данными, полезно начать со следующих шагов. 

B. Осознайте связь между удержанием и защитой.

Когда речь идет об управлении данными, помните простое правило: «То, чего здесь нет, не смогут украсть». Например, если вашему коллеге не нужны на портативном компьютере отчеты за десять лет, найдите более безопасное место для хранения этой информации. Подумайте, нужен ли каждому сотруднику вашей организации доступ к электронным письмам за десять лет, или к папке с подробной информацией обо всех сотрудниках. Определив, какие данные являются ценными и требуют дополнительной защиты, вы сможете предпринять соответствующие шаги.

C. Проведите категоризацию данных.

Если вы работаете с поставщиком технической помощи, вы сможете выполнить этот процесс в своей внутренней системе. В другом случае, этот процесс можно выполнить в виде обсуждения с сотрудниками. 

Рассмотрим простую, но эффективную меру: перечислите ключевые источники данных в вашей организации и определите, кому в действительности нужен к ним доступ. Например: архивы электронной почты, данные о сотрудниках, финансовые отчеты и подробности журналистских материалов. 

Получив такой перечень, разделите данные на классы по чувствительности информации. Затем, основываясь на чувствительности данных, можно определить, следует ли предоставлять сотрудникам доступ на постоянной основе, на 30-дневный период, или даже на 24-часовой период под надзором руководителя. 

Данные по менее чувствительным материалам (например, об искусстве или культуре) могут быть доступны большему количеству сотрудников в течение более длительного времени, чем весьма чувствительные материалы (например, расследования коррупции или преступлений). 

Эти шаги могут показаться сложными, но изменение статус-кво в отношении доступа к данным в вашей организации может значительно снизить утечки данных в результате ошибки.

У вашей организации адекватный уровень безопасности в категории безопасности данных. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на еще более высокий уровень.

Что мы рекомендуем:

Уменьшите объем и срок хранения данных.

Электронная почта — это область, в которой организации часто пренебрегают рекомендуемыми практиками управления данными. Папка «Входящие» часто переполняется непрочитанными сообщениями, а в папке «Отправленные» хранится корреспонденция за многие годы. В некоторых случаях редакции даже позволяют сотрудникам месяцами хранить в почтовых ящиках конфиденциальную переписку с источниками. 

Одним из путей улучшения политики управления данными может стать ограничение на объем электронной почты, хранящейся в почтовых ящиках ваших сотрудников. Архивирование электронной почты — это относительно простая практика, при которой само электронное письмо не удаляется и не стирается. Эта практика состоит в удалении писем из активного почтового ящика для хранения их в более безопасном месте. Поставщик технической помощи поможет вам в этом процессе. 

Для начала рассмотрите возможность архивирования всей электронной почты старше пяти лет в ящиках входящих сообщений ваших сотрудников. После того, как ваши сотрудники приспособятся к этому изменению, попробуйте распространить ограничение на любые электронные письма старше трех лет. Некоторые организации юридически обязаны хранить электронную почту в доступном формате, поэтому, прежде чем подобрать политику для своей организации, проконсультируйтесь с юристом. 

Этот процесс может занять много времени, но ограничение количества электронных писем в учетных записях вашей организации значительно снижает риск в случае утечки данных. Это особенно верно, если ваши сотрудники используют свою электронную почту для связи с источниками. 

Закончив с архивацией электронной почты, обратитесь к поставщику технической поддержки, чтобы определить, как лучше всего классифицировать оставшиеся данные вашей организации по степени чувствительности. Некоторые данные — например, финансовую или налоговую отчетность — следует считать высокочувствительными и хранить в зашифрованном хранилище. Другим данным, возможно, такой высокий уровень защиты не нужен. 

Где бы вы ни хранили данные, вам следует внедрить политику резервного копирования, согласно которой на регулярной основе будут создаваться копии информации для безопасного хранения. Опять же, поставщик технической поддержки может посоветовать вам, как именно наладить процесс резервного копирования в соответствии с вашими нуждами, но мы рекомендуем выполнять его не реже, чем раз в квартал. 

У вашей организации повышенный уровень безопасности в категории безопасности данных. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций по выведению кибербезопасности вашей организации на еще более высокий уровень. 

Что мы рекомендуем:

A. Выполняйте кризисное планирование. 

Никому из нас не хочется пережить кризис, способный нарушить план организации, но нужно иметь план по продолжению работы в случае возникновения проблемы. Это процесс, известный как «кризисное планирование» в каждой организации устроен по-своему. Многие редакции стремятся сохранить возможность продолжать освещать события даже в кризисной ситуации или во время неожиданного события.

Ключевым элементом обеспечения непрерывности работы является возможность доступа к вашим данным и продолжения журналистской деятельности, даже если вы физически не находитесь в офисе или не имеете доступа к рабочему устройству. Это означает, что ваша текущая политика резервного копирования должна быть достаточно надежной, чтобы можно было продолжать работу, восстановив данные из последней резервной копии. Спросите себя, каким может быть максимальный срок давности копии, из которой можно было бы продолжить работу. Если окажется, что частота резервного копирования в вашей организации недостаточна, подумайте над тем, чтобы ее увеличить.

Увеличив частоту резервного копирования, также следует увеличить количество времени на тренировку по восстановлению резервных копий. Мы рекомендуем тестировать резервные копии не реже одного раза в год, а в идеале — раз в шесть месяцев. Нельзя надеяться на процесс резервного копирования, если резервные копии не тестировали. 

Резервные копии — важная составляющая защиты от программ-вымогателей. Программы-вымогатели — это разновидность вредоносного программного обеспечения, которое шифрует данные на вашем устройстве, так что вы не имеете к ним доступа, пока не внесете плату. Если у вас есть резервная копия вашего устройства, хранящаяся отдельно от устройства (например, на внешнем жестком диске или в облачном хранилище), вы сможете «повернуть время вспять», восстановив данные до состояния, в котором они были до воздействия программы-вымогателя. Это позволяет восстановить доступ к данным, сохраненным до атаки.

B. «Гипер-категоризируйте» данные.

В сотрудничестве с поставщиком услуг безопасности вы можете продолжить процесс категоризации данных. Теперь, зная, когда и к каким данным нужен доступ разным категориям сотрудников, можно пойти дальше и распределить доступ по гипер-категориям. Например, вашей бухгалтерии может потребоваться доступ к чувствительной финансовой отчетности, но доступ к личным делам сотрудников будет только у руководителей этой группы. Такая категоризация данных по уровням может еще больше повысить безопасность данных в вашей организации. 

У вашей организации базовый уровень безопасности в категории безопасности веб-сайтов; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению кибербезопасности вашей организации.

Что мы рекомендуем:

Веб-сайт новостной организации является одновременно площадкой для высказывания и составляющей имиджа организации. Поэтому люди, которые хотят прервать вашу журналистскую деятельностью, могут совершать на ваш веб-сайт атаки с целью взлома, искажения информации и т.п. К счастью, есть несколько простых шагов, которые вы можете предпринять, чтобы защитить свое присутствие в Интернете. Ниже перечислены три меры по повышению безопасности веб-сайта, которые вы можете предпринять с помощью поставщика технической помощи.

A. Разобраться, как работает HTTPS, и внедрить его.

Посещая веб-сайты, вы можете заметить, что в адресной строке первыми идут буквы «http». Это позволяет сайту обмениваться данными, а вашему веб-браузеру — находить нужный адрес. В первые годы существования Интернета протокол HTTP использовался для связи между веб-сайтом и браузером по умолчанию. Затем появилась более безопасная форма связи — протокол HTTPS, обеспечивающий посетителям веб-сайта лучшую защиту. В этом случае, если пользователь ищет на сайте чувствительную информацию или отправляет информацию через вашу форму, его данные зашифрованы от внешних глаз. 

Популярные поисковые системы, такие как Google, все чаще помечают сайты, не использующие HTTPS, как небезопасные; в свою очередь, это снижает количество людей, которым комфортно посещать такие сайты. Поэтому на вашем сайте должен быть настроен HTTPS. Узнать больше о HTTPS можно из этой статьи CloudFlare. 

B. Снизьте риск DDOS-атак.

Если кто-то недоволен вашей журналистской работой или желает, чтобы аудитория не увидела ваш материал, такие люди могут захотеть, чтобы ваш сайт на какое-то время стал недоступен. Это часто достигается с помощью распределенной атаки типа «отказ в обслуживании» (DDOS), при которой злоумышленники забрасывают ваш веб-сайт запросами. Квалифицированный поставщик технической помощи может помочь снизить вашу уязвимость к этим атакам, установив сеть доставки содержимого (CDN). CDN доставляет содержимое вашего веб-сайта из нескольких разных мест в сети, благодаря чему сайт становится менее зависимым от единой точки отказа, которую может вывести из строя DDOS-атака. Больше о таких атаках можно узнать из этой статьи CloudFlare. Бесплатные инструменты Galileo от CloudFlare и Project Shield от Google — идеальные сети CDN для организаций гражданского общества, также как и Deflect от Equalite.

C. Разберитесь, как «доркинг» с помощью Google может навредить вашей организации.

Несмотря на свое глупое название, «доркинг» с помощью Google представляет серьезную угрозу для новостных организаций. Эта практика предполагает использование популярных поисковых систем, таких как Google, для поиска уязвимостей на определенных веб-сайтах. Например, если на вашем веб-сайте используется определенный фрагмент кода устаревшего приложения, злоумышленники могут использовать Google для поиска и атаки незащищенных страниц. Вы можете обратиться к поставщику технической помощи, чтобы определить области вашего сайта, которые необходимо обновить для защиты от такой практики.

D. Обновляйте ПО своего сайта.

Многие новостные веб-сайты работают на системах управления содержимым (CMS), которые, не требуя от пользователя технических знаний, позволяют легко поддерживать сайт и добавлять статьи. Как и любое другое программное обеспечение, CMS нужно обновлять, когда становятся доступны новые функции и обновления безопасности. Любые плагины или темы (код, который обеспечивает внешний вид вашего сайта) также должны обновляться, чтобы заблокировать уязвимости. Поставщик технической поддержки может помочь вам с регулярными обновлениями CMS. 

Если у вас нет ресурсов для обновления веб-сайта, подумайте о переходе о размещении его на Wix или Squarespace. Эти сервисы работают за ежемесячную плату, обновляются автоматически и требуют меньше работы по обслуживанию, чем независимый сайт. 

У вашей организации адекватный уровень безопасности в категории безопасности веб-сайтов. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, которые помогут вывести кибербезопасность вашей организации на еще более высокий уровень.

Что мы рекомендуем:

Вы предприняли ряд конкретных шагов, чтобы уменьшить количество уязвимостей на своем веб-сайте. Теперь обратите внимание на информацию, которую на нем публикуете. Помимо поиска технических лазеек на вашем веб-сайте, злоумышленники могут прочесывать само содержимое веб-сайта в поисках ценной информации. В частности, они могут искать определенные сведения о вашей организации, ее местонахождении и сотрудниках, чтобы использовать эти сведения для последующих атак. Вот два шага по снижению риска, над которыми следует задуматься.

A. Осознайте связь между преследованием онлайн и в реальном мире.

Хотя киберпреследование и доксинг (разглашение частной информации в Интернете) могут показаться исключительно цифровыми рисками, они также могут быть предупреждающими знаками об угрозах в реальном мире. Утечка информации, такой как домашние адреса, может подвергнуть сотрудников риску физического ущерба, а нападения троллей в социальных сетях могут указывать на повышенный риск преследований в реальной жизни. Не надейтесь, что онлайн-атаки ограничиваются сетью — задумайтесь о повышении вашей физической безопасности. 

B. Поищите на своем веб-сайте и в профилях в социальных сетях ненужную информацию.

Люди, которые хотят остановить вашу работу, будут использовать любую доступную информацию, чтобы повысить эффективность своих атак. Они могут использовать, казалось бы, невинные сведения, опубликованные на вашем веб-сайте или в профилях в социальных сетях. Например, публикация на вашем веб-сайте полных имен, фотографий сотрудников и биографических данных журналистов может облегчить злоумышленнику идентификацию цели.

Постарайтесь не использовать фотографии сотрудников на своем веб-сайте и в таких социальных сетях, как LinkedIn; весьма осторожно публикуйте информацию о том, где сейчас находятся и над чем именно работают ваши журналисты. Задокументируйте эти требования в официальной политике организации, чтобы ваши сотрудники также им следовали.

У вашей организации повышенный уровень безопасности в категории безопасности веб-сайтов. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций по выведению кибербезопасности вашей организации на еще более высокий уровень. 

Что мы рекомендуем:

Теперь, когда у вас включены HTTPS и CDN, подумайте о том, чтобы при содействии поставщика технической помощи более внимательно следить за тем, как используется ваш веб-сайт. Вот три основных шага, которые вы можете предпринять, чтобы повысить бдительность.

A. Включите ограничения скорости.

Люди, которые стремятся вам навредить, будут использовать любые доступные варианты, чтобы замедлить или затруднить вашу работу. В том числе, они могут манипулировать полезными функциями вашего веб-сайта, такими как контактные формы или другие инструменты, которые можно перегрузить автоматическими запросами. Чтобы снизить этот риск, можно обратиться к поставщику технической помощи с задачей установить ограничения скорости, которые могут уменьшить количество действий, которые могут быть выполнены одним пользователем в определенной части вашего веб-сайта. Узнать больше о том, как использовать ограничения скорости, можно из этой статьи Google. 

B. Подумайте, кто может войти в панель администратора вашего сайта.

Использование системы управления контентом (CMS) может сэкономить ваше время и усилия при добавлении на ваш сайт новых статей. Но для входа в панель администратора таких сайтов используются активные страницы входа. Если не предпринять упреждающих действий, злоумышленник может зайти на страницу входа, определить, какую CMS вы используете, и попытаться проникнуть внутрь. 

Для снижения этого риска можно предпринять несколько шагов различной степени технической сложности. Один из самых простых шагов — включить в CMS вашего веб-сайта  двухфакторную аутентификацию, которая будет требовать дополнительного шага для входа в систему. С помощью поставщика технических услуг вы также сможете включить систему единого входа (SSO) для всех сотрудников вашей организации. Это улучшит как удобство использования, так и безопасность — хотя настройка может оказаться непростой. Наконец, поставщику технических услуг можно поставить задачу закрыть доступ к странице входа всем кроме предварительно утвержденного списка пользователей, для чего потребуется использование виртуальной частной сети (VPN). 

C. Отслеживайте аналитику и трафик.

Если вас беспокоят атаки из определенного региона или страны, вы можете отслеживать источники трафика по аналитике вашего веб-сайта. Повышенная активность из определенной страны может быть тревожным сигналом, как и внезапные изменения в источниках трафика или сайтах, которые направляют трафик на ваш. 

Кроме того, нужно отслеживать поисковые запросы, которые приводят пользователей на ваш сайт. Негативно окрашенные или угрожающие поисковые запросы, которые привлекают трафик на ваш сайт, могут быть индикатором того, что против деятельности или репутации вашей организации ведется целенаправленная кампания. При помощи поставщика услуг безопасности вы также сможете найти источник этих атак по поисковым запросам. Авторитетный поставщик услуг также может показать вам, как отслеживать конкретных пользователей вашего сайта, связанных с регионами, странами или подключениями к Интернету, которые вы определили как рискованные. 

У вашей организации базовый уровень безопасности в категории безопасности офисов; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению безопасности вашей организации.

Что мы рекомендуем:

Вот два шага, которые вы можете предпринять, чтобы снизить непосредственные риски физической безопасности вашей организации при работе в офисе, в общественном месте или дома. 

A. Внедрите входную политику.

Независимо от того, где расположены офисы вашей организации — в охраняемых зданиях, коворкинг-пространствах, или у сотрудников дома, вы можете реализовать политику входа на «последней линии защиты», чтобы контролировать доступ в офисное пространство. Внедрение обязательной политики идентификации может повлечь дополнительные затраты времени, зато позволит четко фиксировать, кто посещает ваше пространство. Требование надлежащей идентификации не остановит целенаправленного злоумышленника, но может сдержать случайные низкоуровневые угрозы и людей, просто проверяющих вашу защиту. Если ваши сотрудники работают за пределами офиса и проводят личные встречи, рассмотрите возможность расширения этой политики, введя требование проверять документы человека перед личной встречей (которая в идеале должна проводиться не в домашнем офисе сотрудника, а в общественном месте).

B. Внедрите политику «чистого стола».

В конце напряженного рабочего дня возникает соблазн оставить устройства, документы и файлы на столе до следующего дня. Несмотря на удобство, таким образом вы оставляете легкую цель для злоумышленника, проникнувшего внутрь в нерабочее время. Внедрите политику «чистого стола», требующую, чтобы перед отъездом с работы сотрудники прятали свои устройства и бумаги под замок. Эта политика должна распространяться на все офисы — даже на сотрудников, работающих из дома. Возможно, будет полезно распечатать контрольный список напоминаний, который сотрудники будут держать на рабочем месте в качестве визуальной подсказки. 

У вашей организации адекватный уровень безопасности в категории безопасности офисов. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень.

Что мы рекомендуем:

Вы предприняли несколько важных шагов по повышению безопасности офисов вашей организации. Однако, как и в случае других аспектов безопасности, безопасность офисов требует гибкого подхода с адаптацией к изменению угроз. Один из наиболее эффективных способов определить, соответствует ли ваша политика вашим текущим угрозам, — это провести учения с участием всех офисов. 

A. Проведите учения по сценарию «уходящий последним».

Чтобы определить, насколько эффективна политика «чистого стола» в вашей организации, проведите учения по сценарию «уходящий последним». Если у вас несколько офисов, возможно, вам следует вовлечь сотрудников из разных регионов. Если сотрудники работают дома, они могут провести такой же тест самостоятельно. После окончания рабочего дня, когда из офиса уйдет последний сотрудник, пусть назначенный вами человек зайдет в офис и отметит, что осталось на виду, а что было должным образом убрано. 

Эти учения — не для того, чтобы пристыдить пренебрегающих правилами. Скорее, они для того, чтобы отметить упущенные моменты, которые следует включить в вашу политику чистого стола. Например, вам может потребоваться разработать специальные правила для последнего уходящего из офиса человека, и разместить их на видном месте. Сотрудники, работающие удаленно, могут использовать распечатки с напоминаниями обо всех необходимых действиях. 

B. Создайте минимальную жизнеспособную систему безопасности.

Иногда системы физической безопасности очень сложны: в них входит видео- и аудиомониторинг, вход по карточкам и регистрация посетителей. Однако, если у вас еще не внедрена система безопасности, не нужно начинать с самого продвинутого варианта. Лучше обратитесь к поставщику услуг безопасности, чтобы реализовать недорогое решение с использованием простого оборудования — выделенного смартфона или потоковой камеры. По мере увеличения уровня угроз или возможностей бюджета, вы можете привлечь поставщика услуг для внедрения более сложного решения.

У вашей организации повышенный уровень безопасности в категории безопасности офисов. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы повысить кибербезопасность вашей организации.

Что мы рекомендуем:

Теперь, когда у вас есть проверенная политика безопасности офиса и базовая система безопасности, вы можете сделать следующий шаг — наладить еще более тщательный контроль над информацией, которая покидает ваш офис. Одна из уязвимостей, наиболее распространенных во многих офисах, особенно новостных редакциях — это использование распечатанных документов. Если вы уже определили, кто имеет право заходить в ваш офис и к чему он может получить доступ, вам также необходимо отслеживать печатные материалы, которые покидают ваш офис вместе с мусором или в контейнерах для вторичной переработки. 

Убедитесь, что ваши сотрудники уничтожают все бумажные документы.

Реализуйте политику измельчения внутренних документов, а не просто выбрасывайте бумажные документы в корзину. Это уменьшает количество печатных материалов о вашей операционной деятельности, к которым может получить доступ посторонний человек. Может показаться, что в измельчении печатных материалов, не содержащих конфиденциальной информации, нет необходимости — но обязательная практика измельчения поможет вашим сотрудникам включить это действие в свой рабочий процесс. Купите индивидуальные измельчители для каждого стола — пусть расстояние от рабочего места до измельчителя будет меньше, чем до ведра для мусора. Если сотрудники работают удаленно или из дома, позаботьтесь, чтобы у них был измельчитель, а также убедитесь, что они соблюдают правила.

У вашей организации базовый уровень безопасности в категории обмена сообщениями и совместной работы; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций, которые помогут повысить кибербезопасность вашей организации.

Что мы рекомендуем:

Ваша организация может быть эффективна лишь при условии, что ваши сотрудники могут общаться друг с другом и своими источниками. Но в условиях большой загрузки, в динамичной, а иногда удаленной рабочей среде легко променять безопасность на удобство. К счастью, есть возможность использовать для общения и совместной работы более безопасные инструменты, не замедляя рабочий процесс. 

A. Осознайте риски незашифрованной связи.

Если ваши сотрудники не знакомы с кибербезопасностью, они, возможно, общаются только с использованием незашифрованных технологий, таких как обычный смартфон или электронная почта, — в том числе с конфиденциальными источниками. Они могут даже не осознавать, какой объем информации может быть получен вследствие взлома, слежки, или изъят по юридическому запросу или требованию правительства при использовании незашифрованной связи. Это в особенности касается ситуаций, когда журналисты работают над чувствительными историями, затрагивающими влиятельные группы, которым доступен перехват обычных каналов связи. Например, обмен незашифрованными текстовыми сообщениями с источником может быть перехвачен государственными органами или преступной группировкой, имеющей доступ к шпионскому ПО. 

Обучение ваших сотрудников принципам шифрования — хорошее начало для знакомства с этой идеей. Полезно ознакомиться в курсом Communicating with Others (Общение с другими) из учебной программы по самозащите от слежки, подготовленной Electronic Frontier Foundation. Если вы используете для работы выделенный номер мобильного телефона, подумайте о переходе на связь с помощью протокола передачи голоса по Интернету (VOIP). Номера для такой связи доступны на сервисах вроде Google Voice и Skype. Это позволит вам избежать общения с помощью SIM-карты конкретной страны. Использование номера VOIP также может защитить вас от таких угроз, как симуляторы сотовой связи (Stingray) и уязвимостей в сотовых технологиях, таких как атаки SS7. 

B. Начните внедрять альтернативы с шифрованием.

Не следует ожидать, что ваши сотрудники в одночасье привыкнут к технологии зашифрованной связи. Прежде чем сделать использование платформ с шифрованием обязательным, начните вводить их постепенно — например, сперва для журналистов, общающихся с источниками самого высокого уровня. Сотрудников, первыми внедряющих этот подход, можно при всех похвалить. Тех же, кто сопротивляется нововведению, можно включить в рабочую группу, посвященную внедрению этих инструментов — это повысит вероятность их использования. 

На момент подготовки этого документа мы можем порекомендовать несколько инструментов для зашифрованной связи: приложения для обмена сообщениями Signal и Wire. Вы также можете рассмотреть возможность реализации обмена сообщениями на собственном хостинге — например, с помощью Mattermost или инструмента для совместной работы Element — альтернативы популярному программному обеспечению вроде Slack. Поставщик технической помощи может помочь вам настроить любой из этих инструментов или найти им альтернативы. 

C. Разберитесь, когда использовать ту или иную платформу.

Во-первых, вашим сотрудникам не обязательно всегда пользоваться платформами зашифрованной связи. Используйте инструменты с шифрованием только в работе над наиболее чувствительными историями. Это также поможет сотрудникам запомнить, что инструменты с шифрованием связаны с более высоким уровнем безопасности и конфиденциальности, которого не обеспечивают стандартные инструменты. 

Также важно установить правила использования зашифрованных каналов связи с источниками. В качестве лучшей практики, во многих новостных организациях рекомендуется вначале использовать ту платформу, которую предпочитает источник, а затем, при необходимости, запрашивать разрешение источника на то, чтобы перейти на более защищенную платформу с шифрованием. 

D. Разработайте политику защиты источников.

Информация, полученная от источников — как открытых, так и анонимных — чрезвычайно важна для подготовки материалов новостной организации. В обмен на риск, на который идут источники, связываясь с вами, вы должны предоставить им определенную защиту. Например, если вы соглашаетесь сохранить анонимность источника, вы должны соблюдать это обязательство даже под юридическим или политическим давлением. 

В каждой организации защита источников реализуется по-разному; вам нужно выбрать политики защиты, подходящие для вашей работы и контекста. Вот некоторые из наиболее распространенных политик защиты источников, применяемых в разных редакциях:

• Общение с источниками по тем каналам связи, которые наиболее удобны для источников.
• Предложение перейти на зашифрованный канал связи для передачи чувствительной информации.
• Явное заблаговременное информирование источников о рисках, связанных с обменом информацией.
• Организация личных встреч с источниками в безопасных местах.
• Защита любых заметок или других данных, связанных с источником, которые могут быть раскрыты в электронном или физическом виде (например, шифрование заметок или хранение блокнотов под замком)

Предлагаем ознакомиться с 12 ключевыми принципами политики защиты источников.

У вашей организации адекватный уровень безопасности в категории обмена сообщениями и совместной работы. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на еще более высокий уровень.

Что мы рекомендуем:

Вы уже начали использовать зашифрованный мессенджер, например, Signal, или инструмент для совместной работы, такой как Element. Ваши сотрудники внедряют эти инструменты в свой рабочий процесс, осознавая разницу между связью с шифрованием и без. Вот три дополнительных шага по дальнейшему повышению безопасности вашей коммуникации. 

A. Попробуйте использовать расширенные настройки.

У многих инструментов коммуникации с шифрованием, в том числе Signal и Wire, имеются расширенные настройки — например, можно указать, через какое время сообщения автоматически удаляются, а также есть возможность удалять и архивировать данные, которые вам больше не нужны или которыми вы больше не пользуетесь. Постепенно начните использовать эти расширенные настройки в своей повседневной работе. Например, журналисты-расследователи, работающие над особо чувствительной темой, могут настроить автоматическое удаление своих зашифрованных сообщений раз в 24 часа. 

B. Создайте политику насчет того, как долго хранить сообщения.

Поймите, что даже в зашифрованном виде данные все равно накапливаются. Если вам не нужно, чтобы на ваших устройствах хранились сообщения за целые месяцы — как в зашифрованном, так и в незашифрованном виде — подумайте о политике архивирования. Большинство инструментов позволяют легко экспортировать сообщения в архив на другом устройстве хранения. Если вы не знаете, как это сделать, вам поможет ваш поставщик технической поддержки. 

C. Установите четкие инструкции по коммуникации.

Инструменты с шифрованием эффективны только при правильном использовании. Не каждый материал нужно обсуждать с помощью инструмента с шифрованием, но бывают весьма чувствительные истории, которые не следует обсуждать на платформах без шифрования. Чтобы помочь вашим сотрудникам понять, какую платформу выбрать для обсуждения конкретного материала, разработайте для них четкие инструкции по коммуникации. Они должны понимать, когда следует переключаться с инструмента без шифрования, такого как Mattermost или Slack, на инструмент с шифрованием — к примеру, Signal. Сотрудники также должны понимать, как пользоваться каждым из этих инструментов, и уметь определять, в каких из них предусмотрено шифрование, а в каких — нет. 

Те же правила должны применяться и для общения с источниками. Журналисты должны понимать, когда уместно общение с источниками по незашифрованным каналам, а когда необходимо переключение на зашифрованные каналы. 

Кроме того, в инструкциях должна быть предусмотрена идея фрагментации, или распределения коммуникации на несколько различных платформ. Например, если вся работа вашей организации обсуждается в Slack, вы рискуете получить значительный ущерб в случае несанкционированного доступа, взлома или сбоя платформы. Поэтому старайтесь распределять работу (и риск) между несколькими различными инструментами совместной работы. 

У вашей организации повышенный уровень безопасности в категории обмена сообщениями и совместной работы. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы повысить кибербезопасность вашей организации. 

Что мы рекомендуем:

Ваши сотрудники активно используют средства связи с шифрованием и понимают, когда их целесообразно использовать как для внутреннего общения, так и для общения с источниками. Теперь вы можете сделать еще один шаг по улучшению их коммуникации и совместной работы с помощью инструментов с шифрованием. 

A. Разделите использование инструментов на категории по чувствительности.

Вы уже разобрались с сотрудниками, чтобы понять, когда использовать инструменты с шифрованием вместо инструментов без шифрования. Для дополнительной безопасности введите разделение использования инструментов с шифрованием на категории по чувствительности информации или проекта. Например, вы можете определить, что срочными и высокочувствительными сообщениями можно обмениваться только в Signal, а совместную работу над чувствительным материалом обсуждать только на зашифрованной платформе для совместной работы — например, Element. Если не скапливать всю информацию в одном месте, это затруднит доступ злоумышленника ко всей чувствительной информации сразу.

B. Попробуйте несколько инструментов для совместной работы.

Ваш персонал уже знаком с идеей фрагментации или распределения своей работы по нескольким различным инструментам. При работе над очень чувствительным проектом можно реализовать фрагментацию с помощью инструментов с шифрованием. В этом случае сотрудники ведут всю работу над чувствительным проектом посредством инструментов с шифрованием, но вместо одной платформы с шифрованием распределяют работу по нескольким инструментам. Например, сбор информации для подготовки материала может выполняться в Element, а планирование сюжета — в Wire. Это уменьшает объем информации, которая окажется в руках злоумышленника, получившего доступ к вашим сообщениям.

У вашей организации базовый уровень безопасности в категории юридических рисков; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению безопасности вашей организации.

Что мы рекомендуем:

Юридические риски — вопрос сложный. Законы, регулирующие деятельность журналистских организаций, в разных странах и даже регионах различны. Чрезвычайно важно, чтобы новостная организация располагала базовыми знаниями о своих юридических обязанностях и ограничениях, а также о любых возможных рисках, с которыми можно столкнуться в результате судебных исков или других видов юридического давления. Если вы никогда раньше не общались с юристом, для начала предлагаем вам два совета:

A. Ознакомьтесь с законодательством о прессе в вашей стране и регионе.

Законодательство о прессе может быть очень сложным, но ваши сотрудники могут по крайней мере изучить основы. Отличные ресурсы (в дополнение к ближайшему юристу) — Media Defense и Международный центр законодательства по некоммерческим организациям.

B. Проконсультируйтесь с юристом.

Этот совет может показаться очевидным, однако найти квалифицированного юриста по вашему направлению может быть непросто. Если у вас есть возможность встретиться с юристом, чтобы обсудить работу вашей организации, обязательно обсудите ключевые вопросы по темам, представляющим повод для беспокойства с точки зрения юридической ответственности. Среди этих тем обычно закон о клевете, законы о свободе слова и управлении Интернетом — но конкретный перечень тем зависит от региона, в котором вы работаете. Если у вас нет возможности проконсультироваться с юристом, попробуйте обратиться в центр бесплатной юридической помощи при учебном заведении юридического профиля, или с ученым, изучающим право. Многие юристы готовы работать с редакциями на общественных началах — но, конечно, это не всегда так. 

Хороший ресурс для поиска квалифицированных юристов в вашем регионе — Международная ассоциация адвокатов, продвигающая адвокатов по всему миру. 

У вашей организации адекватный уровень безопасности в категории юридических рисков. Молодцы! Вам еще есть над чем работать, поэтому мы собрали несколько рекомендаций, чтобы вывести безопасность вашей организации на новый уровень.

Что мы рекомендуем:

Вы обсудили с юристом юридические риски для вашей редакции, и, возможно, заключили постоянный договор с адвокатом на случай чрезвычайных ситуаций. Даже после этих шагов вы по-прежнему будете сталкиваться с некоторыми юридическими уязвимостями, которые можно ограничить, используя принципы кибербезопасности. Сейчас расскажем, как именно.

A. Выявление и архивирование данных.

Хотя правовые системы во всем мире различаются, в большинстве случаев есть так называемый период предоставления информации, когда адвокаты могут запросить документы, относящиеся к делу, которое ведут. В то время как раньше речь шла о бумажных документах, теперь адвокаты могут запрашивать огромные объемы информации, представляющей интерес для дела, в электронном виде — в том числе электронные письма, мгновенные сообщения, и даже сообщения на платформах для совместной работы, таких как Slack. Среди прочего, это может быть чувствительная информация — переписка о материале, который вы готовите, и об источниках.

Какая-то часть этой информации, действительно, может использоваться в законных юридических целях, но «причинение неудобств» или необоснованные судебные иски могут вынудить организации раскрыть чувствительную информацию, ведь этого требует закон. Один из способов подготовиться к таким судебным искам — определить в обмене электронными сообщениями ключевые слова, которые будут представлять интерес для судебного процесса. Посоветовавшись с вашим юристом, вы можете заархивировать или «изолировать» эту информацию в безопасном месте, например, на автономном устройстве хранения или в зашифрованном облачном хранилище. 

B. Внедрите политику удаления данных.

Не у каждой организации есть ресурсы — финансовые или технологические — для архивирования чувствительных данных. Однако у большинства организаций есть возможность выборочно стирать или удалять электронные письма из почтовых ящиков сотрудников. Если все правильно организовать, это может помочь вашей организации лучше управлять потоками информации. Однако злоупотребление этой возможностью может нарушить право ваших сотрудников на неприкосновенность частной жизни, а вы таким образом нарушите этические обязанности как работодатель. По этой причине мы рекомендуем большинству организаций внедрить понятную политику в отношении удаления данных или сообщений из систем сотрудников и удостовериться, что они ознакомлены с этой политикой.

У вашей организации повышенный уровень безопасности в категории юридических рисков. Молодцы! Вам еще есть над чем работать, поэтому мы собрали несколько рекомендаций, чтобы вывести безопасность вашей организации на новый уровень. 

Что мы рекомендуем:

Теперь, когда вы начали выявлять и архивировать данные, а также составлять политики для этичного удаления данных, вы можете предпринять дополнительные шаги для защиты личных данных вашей организации от необоснованных судебных исков. Работая с юридически чувствительными данными, важно сотрудничать с юристом, знакомым с вашей ситуацией. 

A. Используйте платформу для электронного раскрытия.

Теперь, когда процесс юридического раскрытия информации охватывает огромный массив данных, многие адвокаты начали использовать инструменты электронного раскрытия информации, которые позволяют им выполнять поиск в огромных объемах информации с помощью компьютера. Ваша организация также может использовать эти инструменты, например Хранилище G Suite от Google для поиска в ваших собственных данных дополнительных ключевых слов, терминов и документов, которые следует удалить и заархивировать. Это могут быть документы и вложения, полученные от источников, консультантов или поставщиков, имеющих доступ к вашей системе. В сотрудничестве с юристом, выявляйте чувствительную информацию и храните ее на платформе электронного раскрытия. 

B. Проверяйте свою защиту с помощью ежегодных учений.

Подобно тому, как вы проводили внутренние учения для проверки политик безопасности и физической безопасности, можно провести учения и по реагированию на юридический запрос. На этих учениях вы будете моделировать внешний юридический запрос определенной информации. Возможно, в этом вам понадобится помощь вашего юриста. Смогут ли ваши сотрудники найти и защитить необходимую информацию? Возникает ли в связи с конкретным запросом юридический риск для организации? Вызывает ли юридический запрос временную остановку в работе вашей организации? Понимание, как повлияет судебный процесс — пусть даже вымышленный — на работу вашей организации поможет вам лучше подготовиться к реальным рискам. 

У вашей организации базовый уровень безопасности в категории безопасности и раздельного использования устройств; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению кибербезопасности вашей организации.

Что мы рекомендуем:

Возможно, вы уже знакомы с необходимостью фрагментации или распределения ваших данных по нескольким различным платформам. Еще одна похожая передовая практика для уменьшения риска — это разделение информации путем использования нескольких разных устройств или служб. Если ваши сотрудники, как правило, используют одно и то же устройство на работе и дома, или все время работают с Google G Suite, вам следует задуматься о более тщательном разделении рабочего процесса вашей организации. Вот несколько способов сделать это.

A. Осознайте связь между использованием устройств для личных и профессиональных целей.

Разговоры ваших сотрудников на работе отличаются от разговоров дома или за ужином с романтическим партнером. То же самое касается и того, как они пользуются цифровыми устройствами. Использование одного и того же устройства как для личных, так и для профессиональных целей, увеличивает риск того, что они будут мишенью для злоумышленников как на работе, так и дома. 

Например, сотрудник, использующий свой рабочий ноутбук для онлайн-игр, может стать объектом атак хакеров, которые затем получат доступ к чувствительным рабочим файлам. И наоборот: сотрудник, ставший целью атаки из-за работы, может обнаружить, что хакеры получили доступ и к его личным файлам. Необходимо разъяснить вашим сотрудникам важность разделения этих двух потоков данных. 

B. Внедрите решение, подходящее для вашей организации.

Выбор правильного решения, которое поможет вашим сотрудникам разделять данные, зависит от множества различных факторов, в том числе от вашего бюджета, технических возможностей, доступности компьютеров и смартфонов в вашем регионе. Приведем несколько решений, отсортированных по стоимости и сложности.

• Приобретите для сотрудников специальные рабочие устройства (ноутбуки и/или смартфоны). (Это самое дорогостоящее и наименее сложное решение)
• Используйте USB-накопитель или внешний жесткий диск для загрузки отдельной операционной системы на служебные компьютеры. (Менее дорогостоящее, самое сложное решение)
• Создайте на компьютерах сотрудников новые учетные записи только для работы. (Наименее дорогостоящее, несколько сложное решение)

Для реализации любой этих стратегий с учетом особенностей вашей организации, воспользуйтесь помощью поставщика технической поддержки. 

У вашей организации адекватный уровень безопасности в категории безопасности и раздельного использования устройств. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень.

Что мы рекомендуем:

Ваши сотрудники знакомы с концепцией разделения, вы предприняли некоторые начальные шаги, чтобы отделить данные, связанные с работой вашей организации, от личных данных. Теперь можно внести еще несколько изменений, чтобы укрепить эту границу. 

A. Пользуйтесь разными браузерами для разных типов работы.

Даже пользуясь одним рабочим устройством, можно дополнительно разделить свой цифровой след. Один из простых способов — пользоваться разными браузерами для разных типов работы. Это снижает вероятность того, что, взломав один-единственный браузер, злоумышленник сможет получить доступ ко всей истории поиска ваших сотрудников и другим данным. 

B. Храните на рабочих устройствах меньше информации.

Предоставьте своим сотрудникам возможность хранить свои данные в зашифрованном облаке или внешнем хранилище, а не на локальных устройствах. Это снижает риск того, что злоумышленник сможет украсть устройство и получить доступ ко всем данным, хранящимся на нем. Мы также рекомендуем обратиться к поставщику технической помощи, чтобы настроить политику удаленного стирания рабочих учетных записей на служебных устройствах в случае их утери, кражи или взлома.

У вашей организации повышенный уровень безопасности в категории безопасности и раздельного использования устройств. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на еще более высокий уровень. 

Что мы рекомендуем:

Вы весьма успешно помогаете сотрудникам разделить профессиональную и личную жизнь. Ваша следующая цель — достичь полного разделения, чтобы внешним злоумышленникам могло достаться как можно меньше данных. Для выполнения следующих шагов обратитесь к поставщику технической помощи. 

A. Используйте виртуальную машину.

Если у вас есть доступ к высокоскоростному Интернету, ваши сотрудники могут использовать такое программное обеспечение, как VMWare или Гипервизор Microsoft для виртуального доступа к другому компьютеру со своего компьютера. Это позволяет работать, почти не оставляя на рабочих устройствах отслеживаемых данных. Все результаты работы сотрудника сохраняются на общем диске, поэтому, если его устройство взломано электронным путем или украдено физически, риск раскрытия конфиденциальной информации практически отсутствует. Это техническое решение требует обслуживания и обновления рабочих устройств, поэтому оно подойдет не для каждой организации. 

B. При необходимости используйте биометрию.

Во многих организациях первой линией защиты рабочих устройств являются пароли. Причина этого отчасти в том, что организации, работающие в Соединенных Штатах, более надежно защищены от разглашения своих паролей государственным органам. Однако в других странах биометрические решения (например, сканирование отпечатка пальца) могут оказаться более безопасными и менее уязвимыми в случае проблем со стороны правоохранительных органов или правительства. Если вы работаете в таком регионе, возможно, для доступа к рабочим устройствам следует применить биометрическое решение. Многие системы биометрических паролей также позволяют администраторам вести активный журнал устройств, которые в настоящее время подключены к их сети. 

C. Внедрите решения для обеспечения безопасности конечных точек.

В организациях самых различных размеров часто устанавливаются брандмауэры для защиты от внешних угроз. Но что происходит, когда угроза исходит изнутри — через взломанное рабочее устройство? Решения для обеспечения безопасности конечных точек, в том числе Microsoft Defender for Endpoint и Bitdefender GravityZone Ultra Security Suite отслеживают устройства, фактически подключенные к сети. Если эти программные пакеты обнаруживают ненормальное или деструктивное поведение любого из этих устройств, они могут автоматически отключить его от сети. 

У вашей организации базовый уровень безопасности в категории безопасности программного обеспечения; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению кибербезопасности вашей организации.

Что мы рекомендуем:

Вы используете программное обеспечение каждый день — веб-браузеры, текстовые редакторы и многие другие программы. Однако если ваша организация использует нелицензионное, нелегальное или контрафактное программное обеспечение, вы подвергаете себя риску. Возможно, лицензионное программное обеспечение стоит дорого, но использование незаконных или нелицензионных копий того же программного обеспечения, часто загружаемых из Интернета, влечет за собой риск заразиться вредоносными программами, или стать жертвой других угроз. 

A. Используйте бесплатное программное обеспечение с открытым исходным кодом.

Многие из популярных платных программ имеют бесплатные альтернативы с открытым исходным кодом. Перечислим некоторые из них.

• Microsoft Office можно заменить на OpenOffice или LibreOffice
• Adobe Photoshop можно заменить на Canva (доступно с некоммерческой лицензией), Sumopaint и Pixlr
• Microsoft Outlook можно заменить на Mozilla Thunderbird
• Windows 10 можно заменить на Ubuntu

Хотя программное обеспечение с открытым исходным кодом часто оказывается бесплатным и удобным, есть некоторые оговорки. Загружать программное обеспечение с открытым исходным кодом можно только из проверенных источников. А поскольку программы с открытым исходным кодом часто обслуживаются небольшим штатом, они могут оказаться менее удобными для пользователя, чем коммерческие программы, а обновления для них могут выходить реже или не выходить вообще.

B. Подайте заявку на лицензионное программное обеспечение со скидкой.

В зависимости от вашего налогового статуса, вы можете претендовать на получение скидок для некоммерческих организаций на популярные коммерческие программы, такие как Microsoft Office. Например, поставщик технологий TechSoup предоставляет зарегистрированным некоммерческим группам лицензии на программное обеспечение со значительной скидкой. Некоторые крупные розничные продавцы программного обеспечения также предоставляют скидки. Обязательно проверьте, имеет ли ваша организация право на такие скидки в текущем юридическом статусе. 

У вашей организации адекватный уровень безопасности в категории безопасности программного обеспечения. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень.

Что мы рекомендуем:

Вы пресекли использование в вашей организации незаконного или нелицензионного программного обеспечения и нашли альтернативы. Теперь вы можете принять меры по защите своих рабочих систем и от ненадежного программного обеспечения. 

Строго контролируйте, кто может устанавливать программное обеспечение.

Поставив соответствующую задачу поставщику технической помощи, вы можете запретить своим сотрудникам устанавливать программное обеспечение на свои рабочие устройства. Один из самых простых способов сделать это — позаботиться, чтобы сотрудники не располагали правами администратора на своих рабочих устройствах. Пусть администратором будет сотрудник офиса, которому можно доверять — желательно обладающий определенным техническим опытом. Также полезно назначить администратора-заместителя, у которого будет доступ к устройствам на случай, если ваш основной администратор временно недоступен, а вам нужно внести изменения на рабочих устройствах. 

Посоветовавшись со поставщиком технической помощи, вы можете также ограничить программное обеспечение, разрешенное для использования в вашей организации, только тем, что доступно на официальных торговых площадках вашей операционной системы — Microsoft, Apple или Ubuntu. Любое загружаемое вами программное обеспечение должно иметь цифровую подпись, однако имейте в виду, что это еще не гарантия безопасности. 

У вашей организации повышенный уровень безопасности в категории безопасности программного обеспечения. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень.

Что мы рекомендуем:

Теперь вы контролируете, какое именно программное обеспечение используется в вашей организации, и готовы к дальнейшему укреплению своей безопасности. Вы можете предпринять еще несколько шагов.

A. Внедрите строгую политику по использованию личных устройств.

Удобство, конечно, важно, но предоставление сотрудникам возможности подключать свои личные устройства к рабочим сетям быстро превращает вашу офисную систему в нечто вроде интернет-кафе. Установите строгую политику, четко предписывающую, какими устройствами и где могут пользоваться сотрудники, в том числе при работе из дома. Это снижает риск того, что персонал непреднамеренно подключит к вашей сети взломанное устройство.

B. Примите меры по усилению надзора.

Вместе с поставщиком технической помощи вы можете внедрить сеть с «нулевым доверием», позволяющую подключаться к вашим внутренним системам только после того, как они пройдут процесс аутентификации. Один из способов — это использование системы единого входа, то есть одного пароля для всех учетных записей и устройств. В качестве альтернативы вы можете ввести роль сетевого администратора; все сотрудники будут входить в систему через центральный домен, с которого можно будет отслеживать всех подключенных пользователей и управлять ими. Наконец, рассмотрите возможность использования программного обеспечения для удаленной установки необходимого программного обеспечения и стирания информации с рабочих устройств по мере необходимости.

У вашей организации базовый уровень безопасности в категории шифрования данных; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению кибербезопасности вашей организации.

Что мы рекомендуем:

Если шифрование ассоциируется у вас только с подбором шифров и финансовыми транзакциями, вы не одиноки. Большинство людей не шифруют цифровую информацию, которой обладают. В результате злоумышленник может легко получить доступ к их данным, если их компьютер будет утерян или украден, даже если он защищен паролем. Это особенно опасно для журналиста, работающего с чувствительной информацией. Ваши данные защищены лишь тогда, когда на устройстве настроено полное шифрование диска (с некоторыми оговорками ниже). Вот два шага, которые помогут вашей организации включить шифрование в свой рабочий процесс.

A. Включите полное шифрование диска на рабочих устройствах.

Обратитесь к поставщику технической поддержки, чтобы включить полное шифрование диска на всех компьютерах, используемых вашей организацией для работы. Это может занять много времени, что особенно существенно для загруженных редакций, где нет свободной минуты. Но при необходимости этот процесс можно выполнять в нерабочее время. Если компьютеры с Windows обновлены как минимум до Windows 10 Pro (средняя цена — около 50 долларов США), можно включить BitLocker — встроенное ПО для полного шифрования диска. На компьютерах Apple имеется встроенное ПО FileVault, которое можно включить в любое время. На компьютерах Linux используется Luks, который необходимо включить при установке операционной системы. 

Также важно понимать, как работает ваша система шифрования. Многие программы для шифрования, в том числе Microsoft BitLocker, шифруют данные «в состоянии покоя», только тогда, когда устройство выключено. Так же работают и некоторые облачные хранилища: данные шифруются только в перерывах между активными подключениями пользователя. Это важно учитывать при настройке этих систем, чтобы не возникло недоразумений насчет того, насколько тщательно защищены ваши данные. 

B. Рассмотрите более безопасные альтернативы жестким дискам.

В настоящее время часть данных можно хранить на внешних жестких дисках, которые весьма портативны и удобны. Однако по умолчанию большинство этих устройств не шифруют информацию, поэтому ваши данные доступны каждому, у кого в руках окажется такой диск. Рассмотрите возможность замены этих устройств более на более безопасные альтернативы. Один из вариантов — замена обычных жестких дисков на жесткие диски с физическим PIN-кодом. Такие устройства предлагают Apricorn и iStorageUK: для доступа к данным на этих жестких дисках необходимо ввести код с помощью расположенной на них клавиатуры.

У вашей организации адекватный уровень безопасности в категории шифрования данных. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций по выведению вашей организации на новый уровень кибербезопасности.

Что мы рекомендуем:

Теперь, когда на устройствах вашей организации включено полное шифрование дисков, вы можете использовать параметры шифрования и для других типов хранилищ. Один из самых популярных типов хранилищ во многих новостных организациях — это облако, то есть хранение файлов и информации на серверах под управлением популярных сервисов, таких как Dropbox и Google Диск. Это удобные и доступные варианты хранения, но они — не лучший выбор для хранения чувствительной информации при работе над расследовательскими проектами. Вот более безопасная альтернатива.

Используйте зашифрованное облачное хранилище с «нулевым разглашением».

Для чувствительной информации, используемой в журналистских расследованиях, рассмотрите возможность использования облачного хранилища с «нулевым разглашением». Этот термин относится к поставщикам облачного хранилища, которые ничего не знают о файлах или данных, которые вы храните. Они просто предоставляют хранилище и функции шифрования, необходимые для защиты ваших данных. Это означает, что только ваша организация имеет доступ к файлам и данным, которые вы там храните.

Таким образом, чувствительная информация, которую вы храните, защищена намного лучше. Но есть и обратная сторона: если вы потеряете или забудете данные для входа в учетную запись, то не сможете получить доступ к своим данным. А поскольку у поставщика услуг нет доступа к вашим данным, он не сможет помочь вам восстановить их. Помня об этом, будьте избирательны в отношении данных, которые будете хранить у поставщика с нулевым разглашением, выбирая только чувствительные данные, резервные копии которых у вас есть в другом месте. К популярным поставщикам зашифрованных облачных хранилищ с нулевым разглашением относятся: Tresorit, SpiderOak One и альтернативы с открытым исходным кодом — NextCloud или OwnCloud.

У вашей организации повышенный уровень безопасности в категории шифрования данных. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень. 

Что мы рекомендуем:

Ваша организация добилась значительных успехов в обеспечении шифрования и безопасности чувствительных данных. Ваш персонал включил полное шифрование диска на всех рабочих устройствах и использует облачное хранилище с шифрованием для дополнительной защиты. Теперь вы можете еще больше продвинуться в шифровании, научив своих сотрудников шифровать отдельные файлы и данные на своих рабочих устройствах. Поставщик технической помощи может помочь вам включить этот процесс в повседневную работу.

Шифруйте чувствительную информацию на своем компьютере.

Мы рекомендуем полное шифрование диска на всех устройствах, но есть здесь и некоторые ограничения. Что произойдет, например, если сотрудник пойдет в туалет, оставив свой рабочий портативный компьютер разблокированным, и в это время кто-то кликнет на чувствительный файл на рабочем столе? Подумайте о том, чтобы научить сотрудников шифровать отдельные файлы и папки, которые могут представлять опасность, если попадут в чужие руки. Если файлы зашифрованы, пользователю будет необходимо ввести пароль для их открытия. Вы можете добиться этого с помощью программного обеспечения для шифрования файлов, такого как VeraCrypt или Cryptomator. На первых порах использования вам может помочь поставщик технической помощи.

Одно важное замечание: при использовании некоторых типов этого программного обеспечения может казаться, что зашифрованные файлы отсутствуют в папках с файлами или на рабочем столе. Эти файлы появляются только тогда, когда пользователь открывает соответствующее программное обеспечение и вводит пароль.

У вашей организации базовый уровень безопасности в категории управления паролями и аутентификации; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению кибербезопасности вашей организации.

Что мы рекомендуем:

Пароли — это как ключи от дома: вы пользуетесь ими каждый день, и их легко украсть. Однако, в отличие от ключей от дома, многие люди используют один и тот же пароль для разных учетных записей — это как если бы у вас был один ключ от дома, офиса, автомобиля и ящика стола. К счастью, можно принять меры по защите своих паролей и учетных записей в Интернете, точно так же, как вы защищаете замки. 

A. Узнайте, как взламывают пароли в Интернете.

Ваши пароли нужны людям, заинтересованным в доступе к информации вашей организации в Интернете. В их число могут входить злоумышленники, стремящиеся скомпрометировать вашу организацию, или киберпреступники, стремящиеся украсть или продать данные. Большинство онлайн-сервисов, таких как электронная почта и социальные сети, рано или поздно «ломают». Когда это происходит, злоумышленники продают и обменивают пароли, пока их не опубликуют в общем доступе. 

Рано или поздно сотрудники пострадают от взлома, и хотя бы один из их паролей попадет к другим людям. Если этот пароль использовался для нескольких разных учетных записей, их собственный риск и опасность для вашей организации возрастают. 

B. Внедрите в организации политику паролей. 

Если есть такая возможность, в большинстве случаев люди выбирают простые или легко запоминающиеся пароли, которые легко взломать. Чтобы сделать пароли вашей организации более надежными, подумайте о создании политики паролей. Эта политика должна регулировать: 

что ваша организация определяет как надежный пароль или кодовую фразу;

как сотрудники могут генерировать пароли (для этого мы рекомендуем менеджер паролей);

где должны храниться пароли (опять же, мы предпочитаем менеджер паролей);

другие правила, регулирующие безопасность, связанную с паролями, например, как обрабатывать контрольные вопросы в рабочей учетной записи. 

Вы также должны установить правило, определяющее, как долго можно пользоваться паролями, не меняя их. 

C. Включите менеджер паролей.

Для каждого онлайн-сервиса, которым пользуются ваши сотрудники, нужен уникальный пароль. К сожалению, поскольку многие из нас пользуются сотнями различных онлайн-сервисов, практически невозможно запомнить такое количество уникальных паролей. Инструмент управления паролями, также известный как менеджер паролей, может помочь организовать пароли, надежно их хранить, и случайным образом генерировать более надежные пароли для сервисов, которыми мы пользуемся. Некоторые менеджеры паролей могут даже предоставлять пароли для совместного использования сотрудниками, которые совместно пользуются определенными учетными записями. 

Среди популярных и простых в использовании менеджеров паролей для персонала — 1Password Business, LastPass Enterprise, Dashlane, KeePassxc, Keeper и Bitwarden. Поставщик технической поддержки поможет выбрать подходящий менеджер паролей для вашей организации. 

D. Требовать двухфакторную аутентификацию.

Точно так же, как мы можем повысить безопасность дома благодаря системе сигнализации и другим мерам, можно повысить безопасность учетных записей в интернете на случай, если кто-то действительно получит доступ к нашим паролям. Этот процесс известен как двухфакторная или многофакторная аутентификация. Она предполагает использование того, что вам известно (вашего пароля), в сочетании с тем, что у вас есть (код или инструмент аутентификации). 

Мы рекомендуем включить двухфакторную аутентификацию для каждого онлайн-сервиса, которым пользуется ваша организация. Использование такого сайта, как twofactorauth.org в сочетании с внешним поставщиком безопасности поможет вашим сотрудникам быстро и эффективно включить двухфакторную аутентификацию для большинства сервисов.

У вашей организации адекватный уровень безопасности в категории управления паролями и аутентификации. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень.

Что мы рекомендуем:

В вашей организации были предприняты шаги по повышению надежности паролей. Приложив минимальные дополнительные усилия, вы можете еще больше повысить свою безопасность. 

A. Используйте приложение или токен для проверки подлинности.

При первом включении большинство служб двухфакторной аутентификации используют SMS или текстовые сообщения для отправки кодов, которые потребуются вашим сотрудникам для доступа к своим учетным записям. Однако, поскольку SMS-сообщения легко поддаются перехвату и манипуляциям, это не самый безопасный способ отправки кодов аутентификации. Вместо этого мы рекомендуем перейти с SMS на приложение для проверки подлинности, которое будет установлено на смартфонах ваших сотрудников, или еще более безопасное решение — аппаратный токен, подключающийся к USB-порту физического компьютера. Мы рекомендуем Authy, Google Authenticator и Microsoft Authenticator. Среди авторитетных аппаратных токенов можно назвать: Yubikey, Solo Key и Titan Key.

B. Повысьте надежность вашей политики паролей. 

Даже самые надежные политики паролей не будут эффективны, если не станут частью рабочего процесса ваших сотрудников. Просмотрите существующие политики и определите области, которые можно улучшить, сделать яснее и надежнее. Например, что делать сотрудникам в ситуации, когда их учетная запись заблокирована или у них отсутствуют необходимые учетные данные для двухфакторной аутентификации? Разъяснение этих шагов может помочь снизить риск, особенно во время командировок или непреднамеренного предоставления злоумышленнику возможности проникнуть в вашу систему. 

Также полезно пересмотреть политики использования паролей на рабочих устройствах вашей организации. Например, локальные администраторы на ваших рабочих устройствах должны иметь возможность самостоятельно сбрасывать пароли через определенные промежутки времени, например, раз в 180 дней. Поставщик технической помощи может помочь вам проанализировать существующие политики и найти области для улучшения.

У вашей организации повышенный уровень безопасности в категории управления паролями и аутентификации. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень. 

Что мы рекомендуем:

Внедрение менеджеров паролей и включение двухфакторной аутентификации для отдельных учетных записей значительно повышают безопасность вашей организации. Вместе с поставщиком технической поддержки вы можете сделать еще один шаг в масштабах всей организации. Он описан ниже. 

Используйте систему единого входа по всей организации.

Внедряя комплексную систему единого входа (SSO), вы не только налаживаете рабочий процесс сотрудников, но и повышаете их безопасность. SSO предполагает использование вашими сотрудниками одного и того же имени пользователя, пароля и двухфакторной аутентификации для всех учетных записей, которые используются для работы. Такая система дает администратору больший контроль над настройками безопасности, а также возможность более внимательно отслеживать использование рабочих учетных записей персоналом.

SSO может быть сложно настроить, особенно если у вас крупная организация с уже внедренными протоколами безопасности, но за этим можно обратиться к поставщику технической помощи. Мы рекомендуем системы SSO DUO и Okta. Advanced Protection Program от Google может помочь создать аналогичную систему для пользователей с высоким уровнем риска. Помните, что для эффективной работы все учетные записи в вашей организации, требующие входа в систему, должны быть покрыты системой единого входа.

SSO более безопасна, чем использование сотен различных учетных записей, потому что она снижает «поверхность атаки». Вместо нескольких разных учетных записей и паролей, которые могут стать мишенью для злоумышленника, SSO помещает все ваши учетные записи за один шлюз, обычно с высоким уровнем защиты. Большинство поставщиков SSO требуют двухфакторной аутентификации, обеспечивающей более высокую безопасность, а также контроля со стороны администратора, который может деактивировать учетные записи по мере необходимости. 

У вашей организации базовый уровень безопасности в категории обновлений; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению кибербезопасности вашей организации.

Что мы рекомендуем:

Для бесперебойной и безопасной работы программного обеспечения, которое используется в работе организации, необходимы регулярные обновления. Тем не менее, для многих офисных сотрудников всплывающие окна с просьбой установить обновления — это не жизненно важная часть рабочего процесса, а раздражение, на которое не хочется обращать внимание. К счастью, вы можете предпринять меры, чтобы сделать обновления более постоянной частью использования технологий в вашей организации. 

Позаботьтесь, чтобы у сотрудников были включены автоматические обновления.

Один из наиболее эффективных и наименее трудоемких способов обновления программного обеспечения — автоматизация процесса. В большинстве случаев программное обеспечение предоставляет пользователям вариант автоматического обновления, при котором программное обеспечение будет устанавливать доступные обновления и перезагружаться по мере необходимости. Мы рекомендуем ввести требование, чтобы все сотрудники включили эту опцию во всем доступном программном обеспечении, и отчитались об этом непосредственным руководителям по электронной почте. 

У вашей организации адекватный уровень безопасности в категории обновлений. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень.

Что мы рекомендуем:

Ваши сотрудники включили автоматические обновления программного обеспечения — это ключевой шаг на пути к более безопасному рабочему процессу. Но что, если у вас много разных рабочих устройств, на которых работают разные версии разных программных платформ? Сотрудникам легко упустить из виду определенные программные продукты, что делает организацию уязвимой. Вот, что можно с этим сделать.

При необходимости устанавливайте обновления вручную.

Если вы обеспокоены тем, что ваши сотрудники могут упустить из виду важные обновления используемых систем, обратитесь к поставщику технической помощи, чтобы создать учетную запись главного администратора на всех рабочих устройствах. Затем, когда устройства не используются, например, в нерабочее время, вручную устанавливайте все необходимые обновления, пользуясь учетной записью администратора. 

У вашей организации повышенный уровень безопасности в категории обновлений. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень.

Что мы рекомендуем:

С ростом организации, когда у вас уже несколько офисов в разных регионах или странах, ИТ-персонал больше не может вручную устанавливать обновления или надеяться, что сотрудники установят их сами. Вместо этого можно рассмотреть следующие варианты:

Принудительные обновления на рабочих устройствах.

В крупных организациях с несколькими офисами использование программного обеспечения для управления устройствами может позволить ИТ-отделу «принудительно» обновлять ПО на рабочих устройствах без необходимости физического присутствия в офисе. Это гарантирует, что критические обновления попадут на рабочие устройства, где бы они ни находились, а ваша организация получит больше возможностей для практического управления программным обеспечением и безопасностью.

У вашей организации базовый уровень безопасности в категории действий при непредвиденных обстоятельствах; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению безопасности вашей организации.

Что мы рекомендуем:

Никто из нас не хочет столкнуться с кражей устройства, пожаром, наводнением, стихийным бедствием, пандемией или похищением сотрудника. Но кризисы действительно случаются, и организации, которые уделяют приоритетное внимание кризисному планированию и действиях при непредвиденных обстоятельствах, лучше подготовлены к стихийным бедствиям. Для начала рекомендуем следующую меру.

Проведите учения и планирование для наихудшего сценария.

Кризисным планированием лучше всего заниматься тогда, когда кризис еще не начался. В этом вам помогут учения. Уровень сложности зависит от вас, но сосредоточиться нужно на том, как ваша организация отреагирует на какую-либо одну угрозу — отключение Интернета, невозможность войти в офис, стихийное бедствие или арест / задержание коллеги. Вместе с менеджерами оцените, как ваша организация отреагирует на такую угрозу, а учения помогут выявить все слабые места и уязвимости. 

У вашей организации адекватный уровень безопасности в категории действий при непредвиденных обстоятельствах. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень.

Что мы рекомендуем:

Как только вы осознаете, с какими рисками сталкивается ваша организация, можете приступать к планированию на случай кризисов и катастроф. Документируйте полученные планы и доводите их до ведома сотрудников. Пусть это станет для вас приоритетом, а в сложные моменты организуйте коммуникацию в связи с планом еще раз.

A. Создавайте планы реагирования на инциденты и «черный день».

В условиях кризиса людям, как правило, легче работается, если есть четкий пошаговый список, которому можно следовать. Найдите время, чтобы создать планы реагирования на конкретные угрозы, такие как стихийное бедствие или отключение Интернета. Затем можно составить план «на черный день», который позволит вам продолжать работу даже в сложных обстоятельствах. На этом этапе планирования вам может помочь поставщик услуг безопасности. 

B. Настройте альтернативный канал связи.

В экстренной ситуации обычные каналы связи, которыми пользуется ваша организация, такие как Slack и электронная почта, могут быть недоступны. На случай кризиса, рассмотрите возможность создания учетной записи на другом сервере, например, у поставщика услуг зашифрованной электронной почты ProtonMail, или в мессенджере с шифрованием Threema. Обязательно потренируйтесь входить в систему и использовать эти учетные записи для общения во время учений раз в три-шесть месяцев.

У вашей организации повышенный уровень безопасности в категории действий при непредвиденных обстоятельствах. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень. 

Что мы рекомендуем:

Теперь, когда у вас есть планы на случай конкретных кризисов, уделите время и сосредоточьтесь на том, что нужно вашим сотрудникам для продолжения работы в трудные моменты. С одной стороны, речь о технических решениях, с другой — о поддержке их эмоционального благополучия и контроле стресса. 

A. Разработайте изменения графика работы на случай кризисов.

Помните, что в стрессовых ситуациях ваши сотрудники могут работать не так, как обычно. Подумайте о том, чтобы сократить количество рабочих дней в неделю — это поможет избежать выгорания и обеспечить ресурсы для эмоционального благополучия сотрудников. Поддержка персонала демонстрирует солидарность в трудное время, повышает безопасность организации и побуждает сотрудников делать столь необходимые перерывы. 

B. Предложите альтернативы физическим встречам.

В некоторых случаях при отсутствии личных встреч производительность труда падает. Хотя использование популярных платформ видеоконференцсвязи идеально подходит для стандартных встреч, рассмотрите более безопасную альтернативу со сквозным шифрованием для конфиденциальных встреч персонала — например, Cisco Webex. 

C. Попробуйте безопасную платформу для совместной работы.

Slack и другие инструменты для совместной работы полезны для повседневного офисного общения, менее чувствительных проектов и обмена связанной с ними информацией. Для более важных проектов подумайте об использовании платформы для совместной работы с шифрованием, такой как Element или Semaphor. На освоение этих платформ требуется какое-то время, а для настройки — техническая помощь, но они обеспечивают гораздо более высокую степень безопасности. 

D. Разработайте инструкции по удаленной работе.

Если сотрудники пользуются рабочими устройствами вне офиса, подумайте о том, чтобы составить простые инструкции по удаленной работе. Проконсультируйтесь с поставщиком технической помощи, чтобы определить уровень доступа сотрудника к рабочему устройству. Например, большинство организаций запрещают сотрудникам устанавливать на рабочие устройства личное программное обеспечение. 

У вашей организации базовый уровень безопасности в категории сторонних сервисов; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению кибербезопасности вашей организации.

Что мы рекомендуем:

Ежедневно новостные организации используют для работы сторонние сервисы и платформы: социальные сети, такие как Twitter и Facebook, программное обеспечение SaaS (ПО как услуга), к примеру, Adobe Creative Suite, и облачные хранилища, такие как Dropbox. Тем не менее, сторонние сервисы также могут быть точками входа для дезинформации, нарушения работы и кибератак. Платформы социальных сетей представляют собой особый риск, ведь там часто происходят манипуляции и преследование.

Создайте публичную и частную учетную записи организации в социальных сетях.

В социальных сетях очень важна верификация. Учетная запись, якобы представляющая вашу новостную организацию, может сеять дезинформацию, вводить в заблуждение ваше сообщество и дискредитировать вашу работу. Чтобы предотвратить этот риск, создайте для своей новостной организации как публичную, так и частную учетную запись. Если ваша публичная учетная запись скомпрометирована или стала объектом атаки, можно воспользоваться частной учетной записью для публикации заявлений и разъяснений. Большинство платформ социальных сетей позволяют использовать двойные учетные записи, хотя в Facebook больше ограничений из-за политики «настоящего имени», требующей использовать верифицируемое имя / название. Тем не менее, Facebook предоставляет специальные разрешения для определенных типов учетных записей, в том числе учетных записей журналистов. 

В дополнение к двойным учетным записям, убедитесь, что двухфакторная аутентификация и другие функции безопасности включены для всех учетных записей на сторонних сервисах, а ваши сотрудники понимают, как использовать в социальных сетях настройки конфиденциальности, такие как отключение данных о местоположении.

У вашей организации адекватный уровень безопасности в категории сторонних сервисов. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень.

Что мы рекомендуем:

Теперь, когда вы предприняли шаги по снижению рисков дезинформации, вы можете дополнительно защитить свои учетные записи в социальных сетях, чтобы предотвратить несанкционированный доступ или захват. Вот две меры, которые помогут в этом процессе. 

A. Верифицируйте свою организацию в социальных сетях.

Подайте заявку на получение галочки верификации во всех официальных учетных записях вашей организации в социальных сетях. Для этого в каждой из социальных сетей нужно подавать заявку и проходить определенный процесс, зато это способствует доверию аудитории. 

B. Администраторов должно быть несколько.

Во всех официальных учетных записях в социальных сетях в качестве администраторов нужно назначить сразу несколько сотрудников. Если один администратор покидает организацию, остальные могут изменить настройки доступа к учетной записи, или внести любые другие необходимые изменения. Кроме того, все администраторы должны использовать для своих учетных записей двухфакторную аутентификацию, а для этого может потребоваться процесс настройки общей аутентификации. Поставщик технической поддержки может помочь вам в этом, применив QR-коды, предоставляемые платформой во время настройки.

Если ваши сотрудники используют инструменты управления социальными сетями, такие как TweetDeck, Hootsuite или Sprout, убедитесь, что запись для администрирования всех профилей в социальных сетях, связанных с работой, они пользуются рабочей учетной записью. 

C. Обеспечьте безопасную платформу для получения информации от общественности.

Часто идеи для журналистских расследований начинаются с информации, полученной от общественности. Но получение такой информации через социальные сети — особенно если это чувствительная информация — не защищает ни вашу организацию, ни источник. Поэтому рассмотрите возможность создания для этой цели отдельного канала связи, зашифрованного и защищенного, с помощью таких сервисов, как WhatsApp, Signal или SecureDrop. Узнать больше о том, как новостные организации принимают информацию, можно в этой статье Фонда свободы прессы.

У вашей организации повышенный уровень безопасности в категории сторонних сервисов. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень. 

Что мы рекомендуем:

Ваша организация добилась значительных успехов в защите своих учетных записей — среди прочего, введена двухфакторная аутентификация, назначены администраторы, создана безопасная линия коммуникации. Вот два дополнительных шага для повышения безопасности при использовании сторонних сервисов. 

A. Убедитесь, что вашу учетную запись можно отключить или удалить.

Когда сотрудник покидает вашу организацию или временно не работает, важно иметь возможность отключить его учетные записи на всех сторонних сервисах, которыми он пользовался. Это касается всех сервисов, но в особенности — платформ социальных сетей, где могут храниться чувствительные сообщения или обмен сообщениями между офисами. Предоставление сотрудникам необходимых для входа данных может помочь снизить риски того, что эти учетные записи будут оставлены без присмотра. 

B. Используйте тактику защиты от доксинга.

Доксинг, или практика публикации идентифицирующей личность информации в Интернете, может причинять неудобства и с личной, и с профессиональной точки зрения; его часто применяют против журналистов. К счастью, ваша организация может снизить этот риск, предприняв несколько мер по борьбе с доксингом. В частности, можно проактивно искать имена ваших сотрудников в популярных поисковых системах и удалять информацию о сотрудниках с сайтов брокеров данных с помощью таких сервисов, как Abine DeleteMe и Norton LifeLock.

Для противодействия онлайн-троллям и другим атакам можно использовать такие инструменты, как Block Party, действенные советы и решения таких поставщиков, как Tall Poppy. 

Среди дополнительных мер по защите учетных записей сотрудников — установление надежного резервного доступа к учетным записям на сторонних сервисах в случае болезни, тюремного заключения или смерти сотрудника, а также получение похожих имен учетных записей в социальных сетях с использованием таких услуг, как DNSTwist. 

У вашей организации базовый уровень безопасности в категории виртуальных частных сетей (VPN); вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению кибербезопасности вашей организации.

Что мы рекомендуем:

Возможно, в вашей организации уже рассматривали вариант создания виртуальной частной сети (VPN), но не знали, что выбрать. А возможно, вы впервые слышите о VPN. В любом случае использование VPN становится все более популярным в Интернете из-за опасений по поводу конфиденциальности и защиты данных. В общем случае, мы рекомендуем вашей организации использовать VPN. С чего же начать?

A. Разберитесь в преимуществах и недостатках использования VPN.

Когда вы выходите в Интернет без VPN, ваш поставщик услуг Интернета (ISP) видит все веб-сайты, которые вы посещаете, а также дату и время их посещения. Сами веб-сайты также отслеживают все больше ваших данных при их просмотре. 

Используя VPN, вы скрываете часть информации и от поставщика услуг Интернета, и от веб-сайтов. Эту информацию вы предоставляете поставщику услуг VPN, который шифрует ваше соединение с Интернетом. 

В зависимости от того, кто ваш поставщик услуг VPN, это может быть безопаснее, рискованнее, или настолько же рискованно, как передача данных вашему поставщику услуг Интернета. Как правило, если вы выбираете надежного платного поставщика услуг VPN, ваши данные в большей безопасности, чем при работе без VPN. А если вы платите за VPN от имени организации, у вас будет дополнительная конфиденциальность — тем более, если вы оплачиваете услугу под псевдонимом. 

В этом вам поможет поставщик технической поддержки. Также важно отметить, что в некоторых странах и регионах использование VPN запрещено, поэтому, прежде чем выбирать сервис, учтите местные ограничения.

B. Оцените свой бюджет и выберите VPN по своим возможностям.

VPN бывают самые разнообразные, как и их стоимость. К счастью, цены большинства VPN-сервисов находятся в разумных пределах. Мы не рекомендуем большинству организаций пользоваться полностью бесплатными VPN, так как в этом случае возникают опасения по поводу безопасности и конфиденциальности данных. Многие VPN-компании, в том числе Tunnel Bear и Mullvad, предоставляют бесплатные годовые подписки организациям, которые считают достойными поддержки — но эту возможность лучше оставить группам, у которых практически нет финансовых ресурсов. Для выбора VPN можно проконсультироваться с поставщиком технической поддержки и прочитать такие статьи, как руководство Wirecutter guide от New York Times — там эта тема раскрыта более подробно. 

C. Осознайте разницу между «режимом инкогнито» и использованием VPN.

Несмотря на заявления об отказе от ответственности в браузерах, режим инкогнито или частного просмотра по-прежнему сбивает с толку многих пользователей Интернета. В этом режиме в вашем браузере открывается новое окно, в котором не сохраняются ваши поисковые запросы или посещения сайтов. Может показаться, что ваша история просмотров при этом полностью защищена, но хоть браузер и не сохраняет историю, поставщик услуг Интернета по-прежнему может отслеживать сайты, которые вы посещаете. VPN, напротив, не позволяет вашему поставщику услуг Интернета собирать эти данные, но может собирать эти данные сам. 

В то время как режим инкогнито или частного просмотра предотвращает отслеживание веб-сайтов в браузере, использование только VPN — нет. Важно, чтобы ваши сотрудники понимали эти отличия, поскольку это позволит им правильно выбирать меры, принимаемые в повседневной работе. 

У вашей организации адекватный уровень безопасности в категории виртуальных частных сетей (VPN). Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень.

Что мы рекомендуем:

В вашей организации есть понимание преимуществ и недостатков услуг VPN; вы выбрали услугу, которая соответствует вашим потребностям. Если вы используете стандартную коммерческую VPN, то есть и другие, немного более сложные варианты, которые могут повысить вашу безопасность.

Рассмотрите более технически продвинутую альтернативу.

Создание собственной VPN технически сложнее, но позволяет лучше контролировать свои данные и конфиденциальность. Создание собственной VPN вместо использования услуг коммерческого поставщика позволяет лучше настроить конкретный инструмент в соответствии с вашими потребностями по безопасности. 

Google предлагает сервис Outline, который позволяет организациям создавать свои собственные VPN примерно за 10 долларов США в месяц. Outline хорошо работает в большинстве случаев, в том числе там, где использование VPN может быть замечено или заблокировано (но это не решение для стран или регионов, где использование VPN запрещено). В качестве альтернативы можно использовать более сложный вариант — Algo от компании Trail of Bits, которая помогает организациям настраивать собственные VPN-серверы. 

Firefox DoH, хоть это и не VPN, также может сделать ваш просмотр веб-страниц безопаснее; его можно использовать вместе с существующей службой VPN. Возможно, для внедрения соответствующего решения вам понадобится обратиться к поставщику технической помощи. 

У вашей организации повышенный уровень безопасности в категории виртуальных частных сетей (VPN). Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень.

Что мы рекомендуем:

Вы вложили время, деньги и усилия в поиск подходящего решения VPN для своей организации. Теперь можете расширить использование частных сетей, чтобы обезопасить доступ к вашему веб-сайту и защитить свои онлайн-расследования. 

A. Создайте списки допущенных и заблокированных адресов.

Большинство служб VPN предоставляют пользователям возможность генерировать для пользователей статические IP-адреса. Это означает, что сотрудник вашей организации может использовать один и тот же IP-адрес — идентифицирующую информацию, связанную с его подключением к Интернету — каждый раз, когда пользуется этой VPN. Это позволяет вашим администраторам создавать списки допущенных пользователей из диапазона предварительно утвержденных IP-адресов, которые могут выполнять определенные действия — например посещать серверную часть вашего веб-сайта или интрасеть вашей организации. Все остальные будут помещены в список «заблокированных», и не получат доступа к закрытым частям системы. Поставщик технической поддержки поможет вам создать такие списки для выбранной вами VPN. 

B. Разберитесь, когда использовать Tor.

Браузер Tor стал популярным среди журналистов, обеспокоенных тем, что их действия в Интернете отслеживаются поставщиками услуг Интернета, правительством и другими организациями. Tor обеспечивает более высокую степень конфиденциальности и анонимности, чем стандартный браузер или VPN, поскольку он направляет трафик пользователя через ряд серверов, что значительно затрудняет злоумышленнику задачу определения источника трафика. Больше о том, как работает Tor, можно узнать на сайте Tor Project. 

Многие организации используют Tor только для работы над чувствительными материалами, поскольку просмотр веб-страниц может быть медленнее, чем в стандартном браузере, а чтобы научиться правильно пользоваться этим инструментом, требуется некоторое время. Тем не менее, Tor — надежный и хорошо себя зарекомендовавший вариант для анонимного просмотра содержимого. Поговорите со своим поставщиком технической поддержки о том, как включить Tor в свой рабочий процесс.

У вашей организации базовый уровень безопасности в категории физической безопасности; вам есть над чем работать. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению безопасности вашей организации.

Что мы рекомендуем:

A. Создайте политику регистрации.

Ваши журналисты могут столкнуться с преследованием и угрозами из-за своей работы. Если их журналистская работа вызывает недовольство влиятельной организации или правительства, за ними могут следить или даже взять их под арест. 

Как руководители новостных отделов, вы обязаны позаботиться о том, чтобы ваши журналисты могли выполнять свою работу с максимальной безопасностью. Есть множество мер, которые вы можете предпринять для повышения безопасности ваших журналистов, но одна из наиболее эффективных базовых мер — это введение политики обязательных созвонов.

Созвоны обычно происходят, когда журналист выполняет задание. Он должен связываться с редактором (если возможно, по телефону) в определенные моменты выполнения работы. Во время созвона журналист должен отметить, чувствует ли он себя в безопасности, заметил ли что-нибудь необычное или тревожное, пока готовил материал. Если журналист пропустит согласованное время созвона, его руководители должны инициировать следующий этап плана, что обычно означает обращение к контактным лицам, указанным на случай чрезвычайной ситуации, чтобы попытаться проверить статус журналиста.

Вы можете узнать больше о правилах созвонов и других мерах, которые можно предпринять для обеспечения безопасности ваших журналистов, из документа Оценка безопасности перед назначением задания, подготовленного Комитетом по защите журналистов. 

Еще одна политика, которую можно ввести, — это обязательное сообщение обо всех угрозах, которые журналист получает при выполнении своей работы. Журналисты могут не решаться сообщать об угрозах или других инцидентах, но информирование руководителя чрезвычайно важно для корректировки планов безопасности по мере необходимости. 

B. Обратитесь за поддержкой к региональному партнеру. 

Если один из ваших журналистов попал в тюрьму, задержан, подвергается угрозам или нападению за свою работу, одной из наиболее эффективных ответных мер является обращение к местным, региональным и глобальным организациям по защите свободы прессы. Давление со стороны сторонников может убедить правительства, преступные группировки и другие организации освободить журналистов из плена или позволить им выполнять свою работу невредимыми. 

Среди групп, которые могут обеспечить такую защиту, — Комитет по защите журналистов, Article 19, Free Press Unlimited, Фонд свободы прессы, Репортеры без границ, а также ближайшие к вам местные и региональные ассоциации прессы. 

Вы также можете обратиться за поддержкой в безопасном выполнении своей работы к организациям, которые специализируются на журналистских расследованиях. Среди этих организаций — Центр по исследованию коррупции и организованной преступности и Международный консорциум журналистов-расследователей.

C. Пользуйтесь услугами адвоката.

Иногда влиятельные люди могут использовать местное законодательство, чтобы запугать журналистов или заставить их замолчать. Адвокат поможет вам лучше понять, как обжаловать несправедливые судебные иски, наносящие вред вашим сотрудникам или вашей работе. Он может помочь в случае задержания, ареста и тюремного заключения. 

Если вам нужно найти адвоката, хороший ресурс — Международная ассоциация адвокатов, продвигающая адвокатов по всему миру. Вы также можете воспользоваться помощью местных учебных заведений юридического профиля: возможно, преподаватели и студенты будут готовы помочь вашей организации бесплатно. В некоторых регионах также действуют бесплатные центры юридической помощи, в которых можно получить консультацию.

Однако, если ваша организация планирует проводить серьезные расследования в долгосрочной перспективе, можно заключить постоянный контракт с адвокатом или юристом — среди прочего, для проверки ваших материалов перед публикацией. 

D. Оценивайте риск каждого задания. 

Перед отправкой на какое-либо задание, вам следует совместно с журналистами провести оценку рисков. Освещения некоторых тем, таких как искусство или спорт, может показаться малоопасным, но на журналиста, который этим занимается, все равно могут совершить атаку — из-за новостной организации, с которой он связан. Вот почему мы предлагаем по возможности оценивать риски для каждого задания, связанного с журналистской работой вне офиса. 

Оценка рисков не должна занимать много времени. Со временем вы можете выработать собственный подход, который подойдет вам лучше всего. Однако в общих случаях хорошая оценка риска предполагает:

• Определение угроз в вашем регионе в прошлом и настоящем / в связи с конкретным заданием;
• Четкое перечисление контактов на случай чрезвычайной ситуации, и описание процедур созвонов;
• Предоставление подробной информации о мерах, которые будут предприняты, чтобы свести риск до минимума.

Если вы только начали выполнять оценки рисков, из полезных ресурсов можем порекомендовать Шаблон для оценки рисков от Комитета по защите журналистов, Руководство ЮНЕСКО по безопасности для журналистов и ряд руководств от Rory Peck Trust.

У вашей организации адекватный уровень безопасности в категории физической безопасности. Молодцы! Вам еще есть над чем работать, поэтому мы собрали несколько рекомендаций, чтобы вывести безопасность вашей организации на новый уровень.

Что мы рекомендуем:

A. Пройдите обучение по физической безопасности. 

Если ваши журналисты регулярно освещают события с высоким риском, такие как протесты, гражданские беспорядки или конфликты, им следует пройти обучение по физической безопасности. Многим журналистам полезно пройти курс обучения «Работа во враждебной среде и оказание первой помощи в чрезвычайных ситуациях» (HEFAT), который помогает подготовиться к таким рискам, как похищение, перекрестный огонь и война. Организации, предлагающие курсы HEFAT, часто предоставляют скидки для журналистов местных изданий и фрилансеров с ограниченным бюджетом. Полезным ресурсом для поиска квалифицированных поставщиков услуг HEFAT является это руководство Коалиции женщин в журналистике. 

Если в вашем регионе курсы HEFAT не проводятся, ваши журналисты могут пройти хотя бы ближайшие курсы по оказанию первой помощи. Такие курсы не ориентированы конкретно на журналистов, но благодаря им можно получить навыки спасения жизни на случай серьезной травмы. Национальный совет безопасности ведет справочник сертифицированных учебных центров по оказанию первой помощи в любой точке мира, а Красный Крест в Америке предлагает онлайн-курсы. Комитет защиты журналистов также создал серию обучающих видео по оказанию первой помощи. Возможно, в вашем сообществе доступны и другие ресурсы.

B. Работая во враждебной среде, пользуйтесь средствами индивидуальной защиты. 

Журналисты, которые регулярно ведут репортажи с мест событий, связанных с насилием, — например, фотожурналисты и видеооператоры — должны иметь при себе средства индивидуальной защиты для обеспечения собственной безопасности. Эти средства могут стоить дорого, но такие организации, как Репортеры без границ помогают редакциям получить их со скидкой. 

Первое, что должно быть у журналиста, — это защитные очки, которые защитят глаза от оружия и летящих осколков. Самую лучшую защиту обеспечивают баллистические очки для военнослужащих, но очки для ракетбола или промышленные защитные очки тоже способны защитить глаза. 

Кроме того, в любой ситуации, в которой существует риск попадания летящих предметов (не только осколков боеприпасов, но и брошенных предметов — например, кирпичей или камней), рекомендуется пользоваться шлемом. Что касается защитных жилетов, они бывают разных видов и для разных уровней риска. Проконсультируйтесь с поставщиком услуг безопасности, чтобы определить, нужны ли защитные жилеты для вашей работы, а если да — то какие именно. 

Кроме того, все журналисты, работающие на месте событий, в идеале должны иметь при себе аптечку первой помощи и знать, как ей пользоваться в чрезвычайной ситуации.

У вашей организации повышенный уровень безопасности в категории физической безопасности. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень.

Что мы рекомендуем:

A. Работайте в парах. 

Опытные журналисты часто считают, что лучше всего работать в одиночку, но это может быть сопряжено со значительным риском. Даже простая встреча с источником в публичном месте может сделать журналиста объектом нападения. Многие журналисты, освещающие события, связанные с высоким риском, работают в парах — например, журналист печатного издания и фотожурналист, или репортер прямого эфира и видеооператор. 

Это позволяет одному журналисту проводить интервью или получать доступ к необходимым материалам, в то время как другой журналист следит за возможными угрозами. Поскольку журналисты становятся объектами атак типа "бей и беги" как в общественных местах, так и в офисе или дома, такая практика может обеспечить дополнительную защиту. 

B. Испытывайте политики безопасности с помощью кабинетных учений. 

Политики безопасности эффективны только в том случае, если их можно быстро и эффективно применить на практике. Поэтому важно периодически испытывать свои политики с помощью кабинетных учений. Это касается не только политик кибербезопасности, но и политик физической безопасности. 

Например, вы можете протестировать сценарий, при котором журналиста задерживают или арестовывают во время высокорискованного интервью с источником. Описано ли в политике безопасности, как журналисты должны защищать свои заметки в письменном или электронном виде? Как и когда журналист должен связаться с офисом, чтобы сообщить об аресте? 

Выявление пробелов, требующих восполнения — важный шаг к тому, чтобы ваши политики безопасности оставались актуальными и эффективными.

У вашей организации базовый уровень безопасности в категории связанных рисков. Не волнуйтесь! Мы подготовили несколько рекомендаций по повышению кибербезопасности вашей организации.

Что мы рекомендуем:

Преследование и запугивание в Интернете, как и взлом веб-сайтов, могут перерасти в реальные физические угрозы или кибератаки высокого уровня. Эти события хочется воспринимать как незначительные неприятности, которыми приходится расплачиваться за активность в сети, но на самом деле они могут представлять бóльшую угрозу, чем вы могли ожидать. Вот каким образом можно начать работать над снижением этих рисков:

Создайте политику по угрозам и преследованию.

Прежде чем онлайн-кампания по преследованию перерастет в насилие, подумайте о создании общеорганизационной политики по угрозам и преследованию. Например, в политике вашей организации может быть указано, что любой сотрудник, который подвергается преследованию в Интернете — в личной жизни или непосредственно в связи с работой — должен сообщить об этом инциденте своему руководителю. Даже единичное сообщение такого рода должно повысить уровень бдительности в офисе как минимум на неделю, и повлечь за собой серию тщательно задокументированных мер по безопасности. Как минимум, нужно зафиксировать преследование с помощью снимков экрана, с указанием времени и даты; об инциденте нужно сообщить платформе, которой воспользовались злоумышленники. 

Также подумайте о том, чтобы сообщить о преследовании поставщику услуг Интернета злоумышленника. Даже если это не входит в его обязанности, поставщик услуг Интернета имеет возможность временно заблокировать клиента, который нарушает условия обслуживания. Хотя это не всегда возможно, подумайте о том, чтобы разрешить сотрудникам держать свои рабочие профили в социальных сетях закрытыми — это может помочь снизить количество атак.

Чтобы лучше справляться с онлайн-преследованием в будущем, мы рекомендуем такие инструменты, как Block Party, и таких поставщиков, как Tall Poppy. 

У вашей организации адекватный уровень безопасности в категории связанных рисков. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень.

Что мы рекомендуем:

Вы предприняли несколько важных шагов для защиты своих сотрудников от преследований, негатива и взломов в Интернете. Но есть и дополнительные меры, которые помогут предвидеть риски и избежать их в будущем.

Примите меры по снижению новых угроз.

Опережая потенциальных злоумышленников, ваши сотрудники могут избежать неприятностей и стресса, связанного с кибератаками. Google и другие поисковые системы предлагают оповещения о конфиденциальной информации, которая появляется в Интернете, например о фамилиях сотрудников и их домашних адресах. Другие коммерческие сервисы, такие как TalkWalker и Mention, дают возможность производить поиск в интернете по ключевым словам, вызывающим беспокойство. ChangeTower позволяет пользователям отслеживать изменения на страницах Википедии и других сайтах, которые часто являются предвестниками преследований. 

Хотя мы рекомендуем быть осторожными с LinkedIn, эту сеть также можно использовать в качестве инструмента расследования — чтобы узнать, кто просматривает профили сотрудников. Подумайте о том, чтобы сделать определенную информацию о сотрудниках (например, информацию о родственниках или частной жизни) анонимной, удалить снимки головы и другие изображения сотрудников. 

У вашей организации повышенный уровень безопасности в категории связанных рисков. Молодцы! Вам еще есть над чем работать, поэтому мы подготовили несколько рекомендаций, чтобы вывести кибербезопасность вашей организации на новый уровень. 

Что мы рекомендуем:

Вы активно защищаете своих сотрудников от запугивания, преследований и взломов в Интернете. Вот две дополнительные меры, которые можно предпринять, чтобы еще больше снизить этот риск: 

A. Отслеживайте и удаляйте личную информацию в Интернете.

Если вы обеспокоены тем, что личная информация ваших сотрудников доступна в Интернете, вы можете временно удалить эту информацию при помощи коммерческих поставщиков услуг. Среди таких сервисов можно назвать Abine DeleteMe, PrivacyDuck, Reputation Defender и Norton LifeLock — хотя важно отметить, что они удаляют данные главным образом из баз данных для маркетинга и продаж в США.

Возможно, сотрудники также решат создать для рабочих целей виртуальные телефонные номера, вместо того чтобы пользоваться личными телефонными номерами для создания учетных записей и использования сервисов обмена сообщениями, такими как WhatsApp. Виртуальные телефонные номера можно получить в Google Voice и Skype. 

B. Следите за предупреждающими сигналами.

Проактивный подход к онлайн-угрозам может помочь организациям быстрее реагировать, когда их проекты или сотрудники становятся объектами онлайн-атак. Инструменты модерации контента, в том числе Perspective API и Coral Project с помощью искусственного интеллекта (AI) отслеживают и оценивают комментарии под вашими статьями или на вашем сайте. Такие инструменты как CrowdTangle, SMAT (набор инструментов для анализа социальных сетей) и Babel Street могут помочь вашей редакции отслеживать социальные сети на предмет кампаний дезинформации о вашей работе. В сотрудничестве с поставщиком технической помощи, вы можете проанализировать ваш веб-трафик на предмет аномалий — злоумышленников, даже не скрывающих свою реальную личность, или большого количества реферального трафика на ваш сайт с известных сайтов троллей, таких как 8chan.