Что должен сделать журналист, чтобы свести к минимуму риски утраты информации на своих устройствах — компьютере и смартфоне? Максимально ёмкие рекомендации от адвоката, старшего партнера проекта «Сетевые Свободы», специалиста по IT-безопасности Станислава Селезнёва.
Вопрос защиты данных, которые хранятся на личных устройствах — компьютерах, ноутбуках, смартфонах, планшетах — для медийщиков особенно важен. Ведь журналист обязан защищать свои источники информации — это и требование закона, и один из стандартов ответственной журналистики. Если мы гарантируем безопасность источнику, мы должны сделать всё возможное, чтобы её обеспечить.
Вот тот минимум действий, который сегодня обязателен для любого российского журналиста, работающего с чувствительными темами.
Не используем отечественные сервисы без крайней необходимости
Как известно, с 2018 года у нас действуют два закона по борьбе с терроризмом, известные как «пакет Яровой». Они обязуют любые сервисы, находящиеся на территории России, в прямом эфире обеспечивать доступ сотрудников спецслужб к любой сохраненной, даже зашифрованной информации пользователей. Это огромный массив данных: от логинов, паролей и учётных записей до используемых программ, сведений о собеседниках и содержания сообщений. К сожалению, среди сотрудников спецслужб есть те, кто злоупотребляет доступом и продает эти данные. Поэтому сервисы, находящиеся на территории РФ, я как адвокат рекомендовать не могу.
Всегда помним о резервном копировании
Кроме обычного автосохранения документов необходимо в обязательном порядке иметь бэкап, то есть полный архив той информации, с которой вы работаете, с обновлением буквально в ежедневном, максимум — в еженедельном режиме. В таком случае что бы ни случилось с вашим устройством — сломается оно, будет изъято, похищено или вы сами решите его уничтожить, прожарив, например, в микроволновке — можете быть спокойны, ваша информация не пропадёт.
В то же время, думаю, не нужно объяснять, что резервное копирование на устройства, которые находятся рядом с вами — не лучшая идея, поскольку это устройство тоже может выбыть из вашего владения. Поэтому рекомендую использовать облачные сервисы: лучше платные, и, как я уже говорил, забазированные не на территории РФ. Рекомендуемые сервисы для защищенного хранения данных: Mega.nz и One BackUp.
Я не рекомендую облачные сервисы Google или iCloud, хотя они популярны и находятся не на территории РФ. Как показывает практика обращений различных государственных органов к корпорациям Google и Apple, даже зашифрованная информация может быть тем или иным образом раскрыта. Потому что предусмотренный законом судебный контроль за получением частной закрытой информации правоохранительными органами по факту не является эффективным средством защиты приватности. Суды удовлетворяют 98% запросов полиции и не ведут никакого последующего контроля за тем, как будут использованы и защищены эти данные (на это уже указывал ЕСПЧ в решении по делу Роман Захаров против России).
Если вы используете для резервного копирования популярные сервисы (Google, DropBox, iCloud), не обеспечивающие шифрование данных, то я рекомендую создавать в них шифрованные контейнеры. Самое простое средство для этого — Cryptomator.
Шифруем все носители на всех устройствах
На ноутбуке и компьютере обязательно нужно включать шифрование носителя и загрузочного диска. Почему это важно? Потому что получив доступ к вашему устройству и даже не имея возможности войти в операционную систему, специалист может извлечь носитель с вашего устройства и считать с него данные, вплоть до истории посещений браузеров, сохраненных паролей и переписки в мессенджерах. Поэтому при установке новой операционной системы нужно обязательно обеспечить ей шифрование носителя. Рекомендуемые сервисы для шифрования: FileVault — для Apple, BitLocker — для Microsoft, VeraCrypt — для всех платформ.
Используем двухфакторную аутентификацию везде, где это возможно
Если на своих устройствах и в различных сервисах вы всё ещё авторизуетесь через sms или по отпечатку пальца, откажитесь от этой практики. Злоумышленники давно научились перехватывать сообщения, проходящие через мобильного оператора. Это делается либо при помощи доступа к системе СОРМ, либо по незаконно выпущенным сим-картам и дубликату паспорта в удаленном регионе.
Биометрическая аутентификация плоха тем, что позволяет разблокировать ваше устройство силовым путём, как это было при обыске у оператора Павла Зеленского. Или злоумышленники могут спровоцировать вас на разблокировку смартфона по отпечатку пальца, воспользовавшись моментом, когда вы, например, спросонья или в запарке, и не до конца осознаёте риски своих действий.
Лучше использовать специальные приложения-аутентификаторы. Они устанавливаются на телефоне и ежеминутно синхронно с сервером, к которому привязаны, генерируют новые коды доступа. Удобство в том, что каким бы ни был ваш пароль — просто или сложный — без доступа к вашему устройству войти в нужный сервис (в почту, в банковское приложение и т. п.) у злоумышленника не получится. Рекомендуемые сервисы для двухфакторной аутентификации: Authy, LastPass Autentithicator, 1Password, andOTP.
Сервисы принципиально отличаются только тем, к чему они привязываются — к облачному хранилищу или к конкретному устройству. Первый случай удобнее тем, что если вы сломаете или потеряете смартфон, который является вашим ключом, вы всегда сможете восстановить аутентификацию на другом устройстве. Минус в том, что это же самое могут сделать и злоумышленники, так как свою «связку ключей» вы доверяете стороннему сервису. Поэтому, если вы храните доступ к таким данным, которые ни в коем случае не должны попасть в чужие руки, тогда лучше использовать доступ через устройство, непосредственно находящееся у вас в руках, которое в крайней ситуации можно собственноручно сломать или «запечь» в микроволновке.
Кстати, я бы не рекомендовал пользоваться популярным сервисом Google Authenticator. Мало того, что он привязывается к одному устройству, и утрата смартфона соответственно влечёт массу проблем, связанных с восстановлением доступов ко всем сервисам. Так он ещё и сам не защищается паролем. То есть при при разблокировке вашего устройства (подбором пароля или силовым образом используя биометрию) злоумышленник сможет авторизоваться во всех остальных сервисах, с которыми связан аутентификатор.
Придумываем сложные пароли и грамотно их храним
- Забудьте про пароли с датой рождения своих детей или кличками домашних животных. Надёжный пароль должен содержать не менее 12-14 символов, а лучше фразу-пароль. Используйте разные регистры, специальные символы, буквы и цифры.
Пример хорошего пароля — «S, d,vnM, sp, Fo?». В нём зашифрована фраза «Скажи-ка, дядя, ведь недаром Москва, спаленная пожаром, Французу отдана?». 14 символов, два регистра и спецсимволы — идеально.
- Не сохраняйте пароли в браузерах. Они не обладают необходимым для чувствительной информации уровнем защиты.
- Для разных учётных записей используйте разные пароли.
- Для хранения паролей используйте специальные сервисы-менеджеры.
Рекомендуемые сервисы для хранения паролей: 1Password, KeePass, LastPass.
- Проверяйте свои логины и пароли на предмет утечки, особенно если вы давно ими пользуетесь. Например, данные, которые вы используете для входа в электронную почту, могут оказаться в базах слитых паролей в даркнете. Рекомендуемый сервис — https://haveibeenpwned.com. Если он сообщает вам, что утечка произошла, поменяйте все пароли, связанные с этой электронной почтой. Иначе к ней могут получить доступ злоумышленники. Подобная функция не так давно появилась и в iOS.
- Ну и очевидные вещи, про которые всё же стоит упомянуть. Не храните пароль на листочке на рабочем столе или блокноте. Не вводите пароль на чужих устройствах. Не отправляйте пароль в мессенджерах.
Переписываемся в надёжных сервисах и мессенджерах
Для передачи чувствительной информации лучше пользоваться почтовыми сервисами Protonmail или Tutanota. Из мессенджеров рекомендую Signal. Да, Telegram и WhatsApp очень распространены и удобны для общения. И у того, и у другого есть двустороннее шифрование переписки пользователей (у Telegrama только в секретных чатах). Но их протоколы и серверные части закрыты. То есть мы не знаем, делаются ли с серверов, на которых хранятся сообщения пользователей, бэкапы и как часто, с какой периодичностью они уничтожаются и достаточно ли компетентно это делается. То есть в безопасности переписки в Telegram и WhatsApp мы можем быть уверены настолько, насколько доверяем их создателям — Павлу Дурову и Facebook соответственно.
Проверяем присланные файлы и ссылки
В последнее время фишинг стал очень популярным способом хищения паролей. Вам присылают ссылку на поддельный сайт, где вы, ничего не подозревая, сами вводите свои логин и пароль и тем самым передаёте их злоумышленникам. Фишинговые технологии совершенствуются. Мошенники используют информацию о вас, которую вы сами добровольно публикуете в соцсетях — фотографии, геотеги, списки друзей, публикации, места работы и учёбы. Например, вы как журналист опубликовали на странице ссылку на свою статью по какой-то важной теме. Злоумышленники могут использовать эту информацию: например, прислать вам ссылку с предложением зарегистрироваться на семинар для журналистов по той же тематике. Вы получаете письмо, переходите по ссылке, там вам могут предложить авторизоваться через фейковую страницу в Facebook, Instagram или VK. Вы вводите свои данные и пароль — и всё, вы попались.
Что в таких случаях делать? Помогает смена пароля на всех сервисах, где он использовался. И отказ от последующей авторизации по sms.
А еще лучше — проверяйте присланные вам ссылки и файлы через специальные сервисы, которые пробивают их по базам фишинговых ссылок и специализированного антивирусного программного обеспечения. Рекомендуемый сервис для проверки файлов: virustotal.com.
Не соглашаемся разблокировать наши устройства по требованию сотрудников правоохранительных органов
Если при обыске или задержании сотрудники силовых структур требуют от вас разблокировать смартфон или ноутбук, не торопитесь этого делать. Информация, которая содержится на вашем мобильном устройстве в соответствии с уже сложившимися стандартами ЕСПЧ и ООН, относится к вашей личной жизни. Поэтому при попытке заставить вас разблокировать телефон, вы можете ссылаться на ст. 51 Конституции (никто не обязан свидетельствовать против себя). Ваше электронное устройство — это часть вас, это ваша записная книжка, ваш личный архив. И любая попытка получить доступ даже к рабочему столу вашего устройства может быть истрактована как попытка заставить вас техническими средствами давать показания против себя.
И опять же, не забываем, что журналисты защищают не только себя. Они — лица, которым вверена чужая информация, и на них законом возложена обязанность сохранять её в безопасности.
В этом есть законодательное противоречие, которое требует одну и ту же информацию сохранять, и её же раскрывать. Но для журналистов законом с более высокой юридической силой является закон «О СМИ». А для правоохранительных органов — «пакет Яровой». И это противоречие каждый раз разрешается только исходя из технической оснащенности и киберграмотности каждой из сторон.
P. S. Если ваше устройство побывало в чужих руках (было изъято или потеряно) и после этого вернулось к вам, информация на нём может быть скомпрометирована. Сделайте сброс к заводским настройкам или переустановите систему. А ещё лучше, если позволяют финансы, купите новый телефон или ноутбук.
Материал был подготовлен для блога Грибницы.