Чому варто перестати зберігати паролі в браузері й давати сервісам дозволи до всього.
Цифрова безпека — це не окрема галузь, а частина редакційної рутини. Злам акаунта може знищити роки роботи, а втрата смартфона — поставити під загрозу героїв розслідування. Як захистити себе, команду й джерела — пояснюють експерт з цифрової безпеки Павло Бєлоусов (Nadiyno.org) та консультантка з цифрової безпеки Мар’яна Яцишин (Лабораторія цифрової безпеки).
Контроль доступів: не давайте стажеру права адміністратора
Одна з найпоширеніших проблем — це безконтрольний доступ до соцмереж і сайтів. Після звільнення невдоволені працівники можуть забрати сторінки собі, а керівництво — втратити контроль. «Реєстрацію основних акаунтів варто здійснювати на контактні дані керівника або засновника — людини, яка не змінюється залежно від обставин. Це створює точку стабільності», — каже Павло Бєлоусов.
Доступи варто надавати поступово: спершу мінімальні, і лише за потреби — розширювати. Кожен має працювати зі свого облікового запису, а не через спільний логін.
Мар’яна Яцишин наголошує: навіть якщо сервіс не дозволяє гнучко керувати доступами, варто прописати внутрішні процедури: хто і коли отримує або втрачає доступ. І обов’язково у керівництва має бути резервний доступ.
Паролі та менеджери: браузер — не сейф
Паролі мають бути унікальними та довгими (12 символів і більше), не містити персональних даних чи поширених слів. Експерти радять зберігати паролі у спеціальних менеджерах, як-от:
- Bitwarden. Користувач може безплатно користуватися сервісом безперервно: у такому разі доступні всі його основні функції, також його можна підключати на необмеженій кількості пристроїв. За платну підписку сервіс пропонує додаткові послуги, наприклад, звіти про безпеку. Є можливість оформити підписку на сервіс для організації.
- Proton Pass. Цей сервіс теж пропонує безстрокову безплатну опцію для користувачів (до речі, вводити дані карти не доведеться) та варіанти індивідуальних та корпоративних платних підписок.
А от браузери, за словами експертів, не зберігають паролі за всіма правилами безпеки, не дозволяють зручно та безпечно керувати ними. Зловмисникам простіше витягнути паролі з браузера, ніж з захищеного менеджера. Однак якщо ви хочете зберігати паролі в іншому звичному для вас місці, то принаймні максимально захистіть його й усвідомте ризики, каже Мар’яна Яцишин.
Захист героїв: не ставте під загрозу людей
Робота з героями з окупованих територій потребує особливої обережності. Не варто розпитувати про чутливі речі, якщо немає впевненості в безпеці. Ім’я чи прізвище згадувати лише тоді, якщо це критично необхідно. «Не потрібно збирати зайвих даних. Якщо можна обійтись без імені — краще не фіксувати його», — наголошує Павло Бєлоусов.
Для зв’язку краще обирати сервіси з відкритим кодом (наприклад, Jitsi) або месенджери з функцією автоматичного видалення повідомлень. «Перед видаленням Telegram (як акаунту, так і самого застосунку з телефону та комп’ютера) потрібно вручну очистити чати, кеш і медіа, відписатись від каналів. Інакше архіви можуть залишитись на пристрої або в хмарі», — пояснює Мар’яна Яцишин. Цю інформацію журналіст має і донести до свого героя, аби убезпечити його.
Телефон як фортеця: шифрування, віддалений доступ і перезавантаження
Смартфон журналіста — це не просто інструмент, а сховище контактів, записів і доказів. Пристрій має бути зашифрований, із надійним паролем, функцією віддаленого стирання даних і швидким блокуванням екрана. «Якщо пристрій втрачається чи потрапляє до сторонніх, наслідки можуть бути критичними», — каже Бєлоусов.
Регулярне звичайне перезавантаження пристрою — простий спосіб позбутись шкідливих програм, що працюють у фоні. Нові моделі, особливо iPhone, зашифровані за замовчуванням. А от дешеві пристрої на системі Android можуть зберігати дані навіть після скидання, тому перед ризиковими виїздами краще вручну видалити чутливу інформацію.
Telegram, TikTok і «ілюзія анонімності»
Журналісти часто користуються платформами, яким не довіряють, — через зручність. Але повністю захиститись від збору даних можна лише одним способом: не користуватись сервісом.
Втім, ризики можна зменшити: двофакторна автентифікація, складні паролі, секретні чати з наскрізним шифруванням, обмеження доступу до камери, мікрофона, контактів і геолокації — усе це зменшує обсяг даних, які платформа може зібрати. «Якщо доводиться користуватись сервісом, якому не довіряєш, максимально забери в нього доступ до всього — від камери до геолокації», — радить Мар’яна Яцишин.
Підтримка від глобальних компаній
Іноді функції, які пропонують міжнародні корпорації, можуть стати в пригоді журналістам, які працюють із ризикованими темами. Google, наприклад, може надсилати сповіщення про спроби зламу, а соцмережі — автоматично вмикати посилені налаштування безпеки. «Google Workspace дозволяє централізовано керувати доступами, контролювати активність, змінювати користувачів. Це безпечніше, ніж особиста пошта», — пояснює Яцишин.
Для неприбуткових організацій існують пільгові програми, їх треба шукати через TechSoup. Часто для корпоративних клієнтів є окремі пропозиції, як-от Canva for Nonprofits.
Безпека — це процес
Цифрова безпека — це не набір одноразових порад, а щоденна практика уважності. Журналісти часто думають: «Я не цікавий — мене не зламають». Але для зловмисників важлива не вигода, а шкода. «Їхня мета — щоб ви витрачали час на відновлення, а не на роботу», — підсумовує Павло Бєлоусов.
Головне зображення: Dan Nelson / Unsplash
Фото надані спікерами