Journalist Security Fellowship
Szervezeti biztonság
Cél
Segíteni a résztvevőknek abban, hogy szervezeteiknél, munkatársaiknál és/vagy szabadúszó újságíróknál a digitális biztonságtudatosság magas szintű legyen és a legjobb gyakorlatokat használják.
Tanulási célok
- A digitális biztonság koncepciójára elméletben folyamatos folyamatként, nem pedig végcélként kell tekinteni.
- Beszélni, tanítani és meggyőzni másokat a digitális biztonság fontosságáról.
- A biztonságos mobil eszközön történő kommunikáció lehetőségeinek megvitatása
- Annak biztosítása, hogy a fájlok biztonságos kezelésével a legjobb gyakorlatot követi.
- Tudatosság a hálózatra kötötti számítógépek fiókbeállításai kapcsán.
- A fenyegetés modellezés fontosságának megértése.
Készségek és viselkedési formák a TTX képzés előttre vagy utánra
- Hozzáférések beállítása és karbantartása kollaboratív platformokon (pl. Google Drive).
- (Amennyiben lehetséges, hiszen ezen szolgáltatások némelyike csak vállalati platformokon elérhető)
- Megnézni a naplófájlokat olyan kollaboratív platformokon, mint a Google Drive.
- Beállítani a kétfaktoros azonosítást, lehetőleg fizikai kulcsokkal, vagy más, adathalászat ellen védett módszerekkel
- Jó jelszó irányelvek (egyedi jelszavak használata, hosszú jelszavak, jelszó helyett mondatok vagy kifejezések) és jelszókezelő használata
- Dokumentumok titkosítása (pl. Mailvelope használatával)
- A Signal (vagy más biztonságos üzenetküldő alkalmazás) telepítése, beállítása és használata
- A, Haladó szintű beállítások az applikáción belül (pl. Eltűnő üzenetek)
- A Mailvelope telepítése, beállítása és használata (vagy más opció titkosított emailek küldésére)
- Biztonságosan bánni a forrásoktól származó fájlokkal és dokumentumokkal
Forgatókönyv
Sára egy újságíró csoportot állít össze, hogy az Egészségügyi Minisztérium által a Covid-19 során végzett közbeszerzésekkel kapcsolatos korrupciót vizsgálja. A csapatban nem minden újságíró rendelkezik azonos szintű digitális készségekkel/biztonsági ismeretekkel és gyakorlatokkal. Sára tudja, hogy a csapat egyik tagja nagyon rosszul bánik a fájl védelemmel.
K1 - Hogyan ösztönözheti Sára a kollégáit arra, hogy javítsanak a digitális biztonsággal kapcsolatos megközelítésükön? Mit kell tennie Sárának a digitális biztonsági gyakorlatok használata érdekében, amikor egy együttműködő csapatot szervez?
- Magyarázza el, miért fontos jó digitális biztonsági intézkedésekkel rendelkezni. Beszéljen például arról, hogy a nem megfelelő digitális biztonsági intézkedések hogyan akadályozhatják egy újságíró karrierjét; hogy a források és a kollégák bizalmát könnyebb elnyerni, ha digitálisan biztonságban vagyunk, illetve, hogy milyen fontos védelmezni a környezetünkben lévőket.
- Vitassák meg, milyen eszközöket használnak, hogyan védik felhasználói fiókjaikat, hogyan tárolják és küldik/fogadják a fájlokat, hogyan férnek hozzá a munkahelyi hálózathoz (a saját eszközeiket használják, vagy a vállalat számítógépein dolgoznak), hogyan jelentkeznek be a munkahelyi hálózatba (vezeték nélkül vagy kábelen keresztül), használnak-e kétfaktoros azonosítást a felhasználói fiókok védelmére, és milyen a jelszó fegyelem (újra használják-e a jelszavakat, használnak-e jelszókezelőket).
- Döntsék el, hogyan kommunikáljon a csapat, hogyan tárolja a fájlokat és hogyan férjen hozzá a fájlokhoz. A második lépés lényege annak biztosítása, hogy mindenki ugyanazt a protokollt kövesse az előzőekben említett tevékenységekkel kapcsolatban.
- Fontolja meg a csapat képzését az újonnan létrehozott protokollok használatáról. A szabályok lefektetése után a csapatnak végig kell futnia egy szárazedzésen, ténylegesen tesztelve az új kommunikációs módokat, és megnézve, hogy vannak-e olyan problémák a folyamatban, amelyeket ki kell küszöbölni.
K2 - Hogyan fogja Sára és csapata tárolni és megosztani a különböző forrásokból származó hangfájlokat és dokumentumokat?
- Korlátozzák a hozzáférést a különböző fájlokhoz és mappákhoz, és használják a megosztási beállításokat körültekintően az olyan platformokon, mint a Google Drive.
- Kérjék meg a kollégákat, hogy ne vigyenek ki fájlokat és dokumentumokat a munkahelyről (USB-k, email csatolmányok stb.). Ezek növelhetik a támadási felületet és a szivárogtatás/feltörés rizikóját.
- Kérjék meg a csapatot, hogy csak munkával kapcsolatos fájlok eléréséhez használják a céges laptopjukat.
- Korlátozzák a céges laptopra letölthető programok körét, és biztosítsák, hogy mindig erős jelszavakkal és szoftver frissítésekkel rendelkeznek.
K3 (opcionális) - Milyen tényezőket érdemes figyelembe venni üzenetküldő alkalmazás választáskor a digitális biztonság szempontból?
Azzal, hogy az egész csapatot ugyanarra a platformra vezeti be, és meggyőződik arról, hogy mindenki elsajátította a használatát, Sára segíthet a csapatának abban, hogy biztonságos és védett kommunikációt alakítson ki egymás között.
Gondolkozzon el a következőkön:
- Helyezzék át a beszélgetések nagy részét Signalra, állítsanak be eltűnő üzeneteket, és másolják át azokat az üzeneteket, amelyeket archiválni szükséges.
- A PGP használata emailezéskor
- Hozzanak létre erős fiókbiztonságot az emailekhez (egyedi jelszavak, kétfaktoros azonosítás)
Két héttel a jelentésük közzététele előtt Sára telefonhívást kap fő kormányzati forrásától ezzel a vizsgálattal kapcsolatosan. Sára jól ismeri a forrást, és megbízik benne. A hívás során a forrás egyszerűen azt mondja: “A kormány tudja - volt egy szivárgás”, és leteszi a telefont.
K4 - A digitális biztonság szempontjából melyek azok az első lépések, amelyeket a Sárának meg kell tennie egy esetleges információszivárgásra reagálva?
- Kérje meg a csapatát, hogy mindenki cserélje le jelszavait, arra az esetre, ha a támadó megszerezte volna a jelszót valamelyikük fiókjához.
- Vegye számba a lehetőséget, hogy a kormánynak nem kellett feltétlenül betörni a szerkesztősgébe. Tudomást szerezhettek a szivárogtatásról példéul úgy is, hogy kinyomozták, melyik kormányzati alkalmazott mit nyomtat.
- Végezzen egy kisebb vizsgálatot: ellenőrizze, hogy mindenki követte-e a protokollokat, kinek volt hozzáférése a kiszivárogtatott információhoz, és hogy egyáltalán mi szivrágott ki pontosan. A jogosultság kezeléssel és verzió követéssel könnyebben számontarthatják, hogy kinek milyen hozzáférése volt egyes információdarabkákhoz.
- Vegye fontolóra, hogy előbb publikálja az érintett anyagot.
Sára megtudja, hogy a szivárgás a szervezetén belülről érkezett. Egy tervezőnek hozzáférése volt a szervezet megosztott Google Drive-jához (annak ellenére, hogy nem dolgozott azon a feladaton). Sára ezt úgy tudta meg, hogy ellenőrizte a Google Drive hozzáférés-szabályozását, és rájött, hogy a tervezőcsapat a munka jellegéből adódóan mindenhez hozzáférhetett a hálózaton.
K5 - Mit tehetett volna Sára másképp ebben a helyzetben?
- Sárának biztonságos protokollokat kell létrehoznia a nyomozó csapata számára. Biztosítania kell a jogosultság rendszer tisztaságát, és hogy azt a gyakorlatban is betartsák.
- A csapat csak szükség szerinti alapon dolgozzon együtt a designerekkel. Ez azt jelenti, hogy semmilyen titkos információt ne kapjanak be egészen addig, amíg az nem feltétlenül szükséges a publikáláshoz.
- Sárának folyamatként érdemes felfognia a digitális biztonságot, nem pedig állapotként. A digitális biztonság olyasvalami, amit folyamatosan tovább kell fejleszteni.
Ha hibát találtál az oldalon, írj egy levelet a [email protected] címre!