Безпека перш за все! Основи превентивної цифрової безпеки

Цей семінар знайомить учасників з основами превентивної цифрової безпеки та заходами підвищення поінформованості про ризики, які вони можуть застосувати у власному контексті. Також надає основні принципи та критерії оцінки та вибору цифрових інструментів на основі конкретних індивідуальних або групових/командних ситуацій та потреб.

Навчальні заходи

Вступ (15 хвилин)

Інструкції

• Привертайте увагу, ставлячи запитання або коментуючи відповідну тему, зображення тощо.

• Представте себе та цілі семінару.

• За бажанням: представте джерело матеріалів семінару (Tactical Tech).

• Повідомте учасникам про порядок денний семінару.

• Запропонуйте основні правила поведінки на семінарі: як ви очікуєте, що учасники будуть діяти та реагувати, поважати один одного тощо. Запросіть учасників коментувати або доповнювати основні правила. Залежно від часу, який ви проводите з учасниками семінару, якщо ви проводите довший тренінг, ви також можете розглянути можливість розробки спільно узгодженого Кодексу поведінки або спільної угоди (див. деякі поради в розділі "Спільні угоди" посібника з гендеру та технологій Tactical Tech.

Інструкції

• Проведіть раунд представлень, попросивши учасників відповісти на кілька запитань про себе, свою роботу, очікування від семінару тощо.

• Альтернативно, ви можете вибрати вправу-криголам (айсбрейкер), яка заохочує учасників бути творчими, малюючи відповіді або ідеї на онлайн-дошці або, якщо це офлайн, встати і виконати деякі завдання. Перегляньте розділ "Айсбрейкери" (Icebreakers) в Посібнику для фасилітатора ETI для натхнення.

Оцінка ризиків (1 година 15 хвилин)

Інструкції

Дайте коротку вступну презентацію, зосереджуючись на основних моментах:

• Мислення "Безпека перш за все!" — Слід враховувати безпеку та конфіденційність перед початком проєкту або розслідування/дослідження, і як превентивний і постійний захід, а не у відповідь на кризову ситуацію.

• Принцип "Не нашкодь" — Завжди плануйте свої дії так, щоб збільшити позитивний вплив і зменшити потенційний негативний вплив на людей, із якими ви працюєте, на питання, які ви розслідуєте, та на самих себе.

Інструменти/матеріали

• "Самооцінка цифрової безпеки" таблиця (файл Word)

Інструкції

[10 хвилин] Попросіть учасників індивідуально поміркувати про свою роботу та заповнити аркуш, який включає такі розділи:

1. Дії, які ви виконуєте (функції) в рамках своєї роботи. — Щоб спрямувати учасників, ви можете усно поділитися деякими прикладами, такими як: Онлайн-дослідження (дослідження за комп'ютером) Офлайн-дослідження Комунікація: пошта, телефон, онлайн, офлайн Зберігання інформації та даних на пристроях Передача інформації та даних Віддалена співпраця Подорожі: місцеві та через кордони * Проведення інтерв'ю з джерелами, робота з вразливими суб'єктами тощо.

*2. Інструменти / Техніки / Пристрої, які ви використовуєте для виконання цих дій (це можуть бути як онлайн-інструменти/сервіси, так і фізичні пристрої)

*3. Заходи цифрової безпеки та проблеми під час виконання ваших завдань.

[5 хвилин] Підведення підсумків

• Після закінчення часу попросіть кількох добровольців поділитися тим, що вони написали. Ви можете попросити добровольця з іншою функцією або з тією ж функцією, але іншим контекстом, або попросити когось із конкретною функцією, яку ви хотіли б виділити.

• Завершіть вправу, підкресливши такі моменти:

  • Дані, які ми збираємо і хочемо захистити, можуть включати особи інших людей, наприклад людей, яких ми опитуємо, жертв зловживань, інформаторів, людей, які працюють у компанії, чиї дії розслідуються, тощо.

  • Тому існує велика відповідальність і обов'язок дбати не лише про себе, але й про інших людей, які стають частиною нашої щоденної роботи і на яких може вплинути наша поведінка.

Інструменти/матеріали

• Кімнати для обговорення / простори для групової роботи онлайн або офлайн
• Спільні файли / цифрова дошка (якщо онлайн) або аркуші паперу та ручки (якщо офлайн)

Інструкції

[25 хвилин]

• Розділіть учасників на малі групи по 3–5 осіб кожна. Якщо онлайн, створіть цифрову кімнату для обговорення для кожної групи / якщо особисто, виділіть окремий стіл для кожної групи.

• Кожна група повинна вибрати один випадок із попередньої вправи (функція-контекст-інструменти-дані) і працювати разом протягом 15 хвилин, щоб визначити передбачувані загрози або ризики в цьому випадку / для цього сценарію.

• Попросіть групи шукати вразливості, пов'язані з методами дослідження, пристроями, програмним забезпеченням, людьми, зберіганням даних, передачею даних тощо.

• Вони можуть перерахувати свої висновки у спільному файлі / дошці / аркуші паперу (чим більше висновків, тим краще).

• Заохочуйте учасників намагатися виявляти фізичні та цифрові ризики, а також їх взаємозв'язок — вони не повинні думати про них ізольовано.

• Після закінчення часу учасники повертаються до основної групи/кімнати.

• Представник кожної групи потім представляє випадок своєї команди та ризики, які вони визначили. Залежно від кількості груп, можна виділити 2–3 хвилини на презентацію.

[5 хвилин] Підведення підсумків

Підсумуйте вправу, розглянувши такі моменти:

• Учасники можуть враховувати лише ризики для себе і менше для своїх джерел або інших людей, з якими вони будуть співпрацювати. Заохочуйте їх враховувати всіх кого залучено до процесу.

• Учасники також можуть потрапити в пастку, думаючи окремо про цифрові та фізичні ризики. Сигналізуйте, що вони тісно пов'язані, і що цифрова загроза може мати фізичні наслідки і навпаки.

• Наголосіть, що оцінка ризиків та усвідомлення безпеки ніколи не закінчуються, оскільки події неконтрольовані, а люди непередбачувані.

• Ризик успадковується: ми не самотні в розслідувальній роботі, але наш ризик є ризиком інших людей і навпаки. Це стосується всіх, незалежно від того, чи йдеться про колег, джерела, досліджуваних суб'єктів тощо.

Інструкції

• Зробіть коротку презентацію, пояснюючи, як оцінювати ризики за допомогою матриці загроз.
• Ви можете навести простий приклад для демонстрації матриці. Наприклад:

Інструменти/матеріали

• Кімнати для обговорення / простори онлайн або офлайн
• Ті самі спільні файли / цифрова дошка (якщо онлайн) або аркуші паперу (якщо офлайн), які використовувались раніше

Інструкції

• Попросіть учасників повернутися до своїх малих груп, з тією ж конфігурацією, що й раніше.

• На основі ризиків, визначених у попередній груповій вправі, попросіть їх спільно обдумати, як зменшити/знизити ці ризики.

Підведення підсумків

• Учасники діляться деякими способами зменшення ризику, які вони придумали.

• Ви можете прокоментувати та додати щось до їхніх ідей.

Інструменти/матеріали

• Спільна дошка офлайн або онлайн (наприклад, Miro або Mural)

Інструкції

• Попросіть учасників подумати про слово "безпека" або "захист" і що воно насправді означає для них. Що їм потрібно для того, щоб почуватися в безпеці чи захищеними?

• На спільній дошці підготуйте три текстові поля або стовпці (по одному для кожного питання нижче) і попросіть учасників поділитися своїми відповідями на одне з таких запитань:

  • Що ви робите щодня, щоб уникнути небезпеки та захистити себе, своє майно, друзів або сім'ю?

  • Згадайте діяльність, яку ви здійснювали і яка була небезпечною. Що ви зробили, щоб залишатися в безпеці?

  • Які ресурси або заходи важливі для того, щоб допомогти вам почуватися безпечно або захищено?

Підведення підсумків

Прокоментуйте те, що було розміщено на дошці, виділивши такі моменти:

• Холістична безпека включає фізичну, психосоціальну та цифрову безпеку.
• Безпека стосується не лише цифрових чи фізичних аспектів, але й нашого стану мислення, принципів і загальної поведінки як індивідуально, так і в командах.
• Безпека є особистою та суб'єктивною, ми визначаємо її для себе.
• Благополуччя інших і наше власне повинно бути фундаментальним орієнтиром для безпеки.
• У нас вже є багато наявних тактик і значна стійкість для того, щоб продовжувати нашу роботу, незважаючи на виклики, з якими ми стикаємося.

РЕСУРС:

• Посібник із холістичної безпеки, Tactical Tech.

Цифрова безпека (60 хвилин)

Інструменти/матеріали

• Кімнати для обговорення / простори для групової роботи онлайн або офлайн
• Спільні файли / цифрова дошка (якщо онлайн) або аркуші паперу та ручки (якщо офлайн)

Інструкції

• Використайте гіпотетичний сценарій і скажіть учасникам:

  • "Було знайдено мобільний телефон без нагляду. Він розблокований. Що можна дізнатися про власника мобільного телефону?"

• Розділіть учасників на менші групи по 3–5 осіб кожна.

• Завдання кожної групи — спільно обдумати та скласти найдовший список інформації, яку ми можемо дізнатися про цю людину через її пристрій. Попросіть їх також розглянути, як ми можемо знайти цю інформацію, з яких дій пристрою та джерел.

Підведення підсумків

• Попросіть одну або дві групи представити свій список інформації та можливих джерел.

• За потреби додайте більше до їхніх списків, наприклад:

  • зовнішність власника через особисті фотографії,
  • чим вони займаються через робочі фотографії або робочий обліковий запис електронної пошти,
  • які їхні уподобання через онлайн-профілі, історію пошуку,
  • майбутні плани через історію пошуку,
  • їхні нещодавні грошові транзакції через документи або електронні листи на пристрої,
  • медичний стан через документи й електронні листи на пристрої,
  • їхнє місцезнаходження через історію місцезнаходження,
  • деталі про можливі відносини через історію електронної пошти або повідомлень і контакти,
  • ...

Інструкції

Підготуйте та проведіть коротку презентацію, включаючи:

• Поясніть, що інструменти цифрової безпеки допомагають захистити:

  • Пристрої та дані
  • Комунікацію
  • Мережеві з'єднання
  • Онлайн-облікові записи

• Окресліть і поясніть сім принципів, які Tactical Tech використовує для оцінки та рекомендації інструментів:

  1. З відкритим вихідним кодом
  2. Перевірені та такі, що пройшли аудит
  3. Зрілі та стабільні з активною спільнотою користувачів і відповідальною спільнотою розробників
  4. Зручні для користувача
  5. Багатомовні з підтримкою локалізації
  6. Багатоплатформні (доступні для Mac, Windows, Linux, Android)
  7. Мають доступну публічну документацію

РЕСУРСИ:

• "Технологія дурна: Як вибирати технології для віддаленої роботи", автор Marek Tuszynski, Tactical Tech
• "Безпека перш за все!" Посібник, Exposing the Invisible: The Kit

Інструменти/матеріали

• Кімнати для обговорення, простори для групової або індивідуальної роботи онлайн або офлайн
• Спільні або індивідуальні файли / цифрова дошка (якщо онлайн) або аркуші паперу та ручки (якщо офлайн)

Інструкції

• Розділіть учасників на менші групи по 2–3 особи або навіть індивідуально.

• Якщо онлайн, розділіть їх у онлайн-кімнати для обговорення або надайте час для проведення власного дослідження.

• Попросіть учасників витратити 20 хвилин на аналіз обраного ними інструменту (це може бути комунікаційний додаток, хмарний сервіс тощо) на основі вищезгаданих 7 принципів і вирішити, чи відповідає він їхнім потребам, чи викликає занепокоєння щодо безпеки та конфіденційності.

• Після закінчення часу учасники повертаються до основної кімнати / онлайн-пленарного простору.

• Представник кожної групи ділиться висновками команди. Якщо дослідження проводилося індивідуально, попросіть двох або трьох учасників представити свої висновки.

Інструкції

• Коротко представте деякі інструменти, які учасники можуть використовувати, які забезпечують відносний ступінь безпеки, разом з деякими перевагами та недоліками.

• Наголосіть, що існують компроміси і поступки при розгляді функцій інструменту, зручності використання (дружності до користувача) та безпеки.

• Проблеми безпеки можна згрупувати в такі категорії:

  • Дані та пристрої
  • Обмін, надсилання даних
  • Онлайн-безпека в: Облікових записах / Браузерах / Віртуальних приватних мережах (VPN) / Комунікації

РЕСУРС:

• "Безпека перш за все!" Посібник, Exposing the Invisible: The Kit

Інструкції

Проведіть обговорення з групою, наголошуючи та спрямовуючи їх до розгляду наступних ключових моментів, які можна перелічити на слайдах або дошці:

• Потрібна гнучкість і здоровий глузд при виборі інструментів і методів для забезпечення безпеки та захисту.

• Найбезпечніший інструмент не завжди буде доступний для всіх людей, залучених до проєкту або комунікації.

• Ви можете поставити це запитання учасникам:

  • "Коли вам доводилося використовувати менш безпечний інструмент, щоб виконати роботу?"

• Зауважте, що повинен бути компроміс між:

  • безпекою (зберігає ваші дані, джерела, вас у безпеці)
  • функціональністю (виконує роботу, яку ви хочете виконати) і
  • зручністю використання (дружність до користувача, кожен у групі може ним користуватися)

• Пам'ятайте, що безпека — це не лише інструменти. Деякі речі, які варто мати на увазі, думаючи про безпеку:

  • що ви вирішуєте поширювати,
  • як ви спілкуєтесь,
  • на що ви клікаєте (фішингові атаки),
  • які послуги ви обираєте,
  • із ким ви вирішуєте ділитися.

• Ваші практики можуть спричинити більше ризиків, ніж інструменти, які ви використовуєте.

• Деякі практики, які допоможуть зберегти ваші облікові дані та дані в безпеці:

  • використовуйте довгі парольні фрази,
  • використовуйте двофакторну аутентифікацію,
  • зберігайте паролі за допомогою менеджерів паролів,
  • забезпечте налаштування інструментів відновлення даних, де це можливо, наприклад додавання електронної пошти для відновлення,
  • резервне копіювання даних,
  • шифрування даних,
  • наскрізне шифрування допомагає гарантувати, що постачальник послуг не може отримати доступ до змісту вашої інформації,
  • будьте в курсі, хто має доступ до ваших даних,
  • оцінюйте інструменти, які ви використовуєте.

Закриття (10 хвилин)

Інструменти/матеріали

• Спільний малювальний планшет / слайд / дошка (онлайн)
• Дошка / фліпчарт-папір, стікери, маркери (офлайн)

Інструкції

• Попросіть учасників створити плакат із ключовими ідеями, поділившись своїми відповідями на таке запитання на спільній дошці / малювальному планшеті:

  • "Які ваші основні висновки з сьогоднішнього семінару?"

• Дайте їм кілька хвилин, щоб написати та/або намалювати свої думки і прочитати думки інших.

Підведення підсумків

• Виділіть деякі моменти на дошці.

Інструменти/матеріали: Матеріали не потрібні.

Інструкції

• Завершіть семінар і підсумуйте його зміст.

• Проведіть швидкий огляд семінару. Кожен учасник має сказати:

  • одну річ, яку вони вважають дуже вдалою на семінарі, та
  • одну річ, яку вони б покращили наступного разу

• Ви можете заохотити учасників задавати питання або дати деякі фінальні поради.

• Поділіться контактними даними, якщо це доречно, та будь-якою інформацією щодо подальших дій.

Додаткові ресурси

• "Технологія дурна: Як вибирати технології для віддаленої роботи", автор статті Marek Tuszynski, Tactical Tech
• "Безпека перш за все!" Посібник, Exposing the Invisible: The Kit
• Security-in-a-Box (EN, також доступний іншими мовами), посібники з безпеки та захисту від Tactical Tech та Front Line Defenders
• "Посібник з холістичної безпеки", Tactical Tech
• Основні посібники та навчальні матеріали з безпеки від Electronic Frontier Foundation (EFF) (EN, також доступний іншими мовами)

Зв'яжіться з нами

Будь ласка, зверніться до нас в Exposing the Invisible, якщо ви:

• маєте будь-які питання щодо цього плану семінару та керівних принципів фасилітації,

• використовуєте цей план семінару і хочете поділитися відгуками та пропозиціями, які можуть допомогти його покращити,

• адаптуєте план семінару до конкретного контексту і хочете поділитися результатами з нами,

• хочете запропонувати нові вправи, поради або приклади, які можна додати до цього семінару,

• хочете поділитися своїм досвідом і співпрацювати з нами щодо розробки та тестування нових семінарів.

Контакт: eti@tacticaltech.org (GPG Key / fingerprint: BD30 C622 D030 FCF1 38EC C26D DD04 627E 1411 0C02).

Авторство та ліцензування

CC BY-SA 4.0

Цей контент створений проєктом Tactical Tech Exposing the Invisible і ліцензований за ліцензією Creative Commons Attribution-ShareAlike 4.0 International

• Автори семінару: A. Hayder, Wael Eskandar

• Інструкційний дизайн: A. Hayder

• Редакційна робота та контент: Christy Lange, Laura Ranca, Wael Eskandar

• Графічний дизайн: Yiorgos Bagakis

• Розробка вебсайту: Laurent Dellere, Saqib Sohail

• Координація та нагляд за проєктом: Christy Lange, Laura Ranca, Lieke Ploeger, Marek Tuszynski, Safa Ghnaim, Wael Eskandar

Цей ресурс був розроблений в межах Collaborative and Investigative Journalism Initiative (CIJI), що спільно фінансується Європейською Комісією в межах пілотного проєкту: "Підтримка журналістики розслідувань і свободи ЗМІ в ЄС" (DG CONNECT).

Цей текст відображає точку зору автора, і Комісія не несе відповідальності за будь-яке використання інформації, що міститься в ньому.