Journalist Security Fellowship

Szervezeti biztonság

Cél

Segíteni a résztvevőknek abban, hogy szervezeteiknél, munkatársaiknál és/vagy szabadúszó újságíróknál a digitális biztonságtudatosság magas szintű legyen és a legjobb gyakorlatokat használják.

Tanulási célok

• A digitális biztonság koncepciójára elméletben folyamatos folyamatként, nem pedig végcélként kell tekinteni.
• Beszélni, tanítani és meggyőzni másokat a digitális biztonság fontosságáról.
• A biztonságos mobil eszközön történő kommunikáció lehetőségeinek megvitatása
• Annak biztosítása, hogy a fájlok biztonságos kezelésével a legjobb gyakorlatot követi.
• Tudatosság a hálózatra kötötti számítógépek fiókbeállításai kapcsán.
• A fenyegetés modellezés fontosságának megértése.

Készségek és viselkedési formák a TTX képzés előttre vagy utánra

• Hozzáférések beállítása és karbantartása kollaboratív platformokon (pl. Google Drive).
• (Amennyiben lehetséges, hiszen ezen szolgáltatások némelyike csak vállalati platformokon elérhető)
• Megnézni a naplófájlokat olyan kollaboratív platformokon, mint a Google Drive.
• Beállítani a kétfaktoros azonosítást, lehetőleg fizikai kulcsokkal, vagy más, adathalászat ellen védett módszerekkel
• Jó jelszó irányelvek (egyedi jelszavak használata, hosszú jelszavak, jelszó helyett mondatok vagy kifejezések) és jelszókezelő használata
• Dokumentumok titkosítása (pl. Mailvelope használatával)
• A Signal (vagy más biztonságos üzenetküldő alkalmazás) telepítése, beállítása és használata
• A, Haladó szintű beállítások az applikáción belül (pl. Eltűnő üzenetek)
• A Mailvelope telepítése, beállítása és használata (vagy más opció titkosított emailek küldésére)
• Biztonságosan bánni a forrásoktól származó fájlokkal és dokumentumokkal

Forgatókönyv

Sára egy újságíró csoportot állít össze, hogy az Egészségügyi Minisztérium által a Covid-19 során végzett közbeszerzésekkel kapcsolatos korrupciót vizsgálja. A csapatban nem minden újságíró rendelkezik azonos szintű digitális készségekkel/biztonsági ismeretekkel és gyakorlatokkal. Sára tudja, hogy a csapat egyik tagja nagyon rosszul bánik a fájl védelemmel.

K1 - Hogyan ösztönözheti Sára a kollégáit arra, hogy javítsanak a digitális biztonsággal kapcsolatos megközelítésükön? Mit kell tennie Sárának a digitális biztonsági gyakorlatok használata érdekében, amikor egy együttműködő csapatot szervez?

• Magyarázza el, miért fontos jó digitális biztonsági intézkedésekkel rendelkezni. Beszéljen például arról, hogy a nem megfelelő digitális biztonsági intézkedések hogyan akadályozhatják egy újságíró karrierjét; hogy a források és a kollégák bizalmát könnyebb elnyerni, ha digitálisan biztonságban vagyunk, illetve, hogy milyen fontos védelmezni a környezetünkben lévőket.
• Vitassák meg, milyen eszközöket használnak, hogyan védik felhasználói fiókjaikat, hogyan tárolják és küldik/fogadják a fájlokat, hogyan férnek hozzá a munkahelyi hálózathoz (a saját eszközeiket használják, vagy a vállalat számítógépein dolgoznak), hogyan jelentkeznek be a munkahelyi hálózatba (vezeték nélkül vagy kábelen keresztül), használnak-e kétfaktoros azonosítást a felhasználói fiókok védelmére, és milyen a jelszó fegyelem (újra használják-e a jelszavakat, használnak-e jelszókezelőket).
• Döntsék el, hogyan kommunikáljon a csapat, hogyan tárolja a fájlokat és hogyan férjen hozzá a fájlokhoz. A második lépés lényege annak biztosítása, hogy mindenki ugyanazt a protokollt kövesse az előzőekben említett tevékenységekkel kapcsolatban.
• Fontolja meg a csapat képzését az újonnan létrehozott protokollok használatáról. A szabályok lefektetése után a csapatnak végig kell futnia egy szárazedzésen, ténylegesen tesztelve az új kommunikációs módokat, és megnézve, hogy vannak-e olyan problémák a folyamatban, amelyeket ki kell küszöbölni.

K2 - Hogyan fogja Sára és csapata tárolni és megosztani a különböző forrásokból származó hangfájlokat és dokumentumokat?

• Korlátozzák a hozzáférést a különböző fájlokhoz és mappákhoz, és használják a megosztási beállításokat körültekintően az olyan platformokon, mint a Google Drive.
• Kérjék meg a kollégákat, hogy ne vigyenek ki fájlokat és dokumentumokat a munkahelyről (USB-k, email csatolmányok stb.). Ezek növelhetik a támadási felületet és a szivárogtatás/feltörés rizikóját.
• Kérjék meg a csapatot, hogy csak munkával kapcsolatos fájlok eléréséhez használják a céges laptopjukat.
• Korlátozzák a céges laptopra letölthető programok körét, és biztosítsák, hogy mindig erős jelszavakkal és szoftver frissítésekkel rendelkeznek.

K3 (opcionális) - Milyen tényezőket érdemes figyelembe venni üzenetküldő alkalmazás választáskor a digitális biztonság szempontból?

Azzal, hogy az egész csapatot ugyanarra a platformra vezeti be, és meggyőződik arról, hogy mindenki elsajátította a használatát, Sára segíthet a csapatának abban, hogy biztonságos és védett kommunikációt alakítson ki egymás között.

Gondolkozzon el a következőkön:

• Helyezzék át a beszélgetések nagy részét Signalra, állítsanak be eltűnő üzeneteket, és másolják át azokat az üzeneteket, amelyeket archiválni szükséges.
• A PGP használata emailezéskor
• Hozzanak létre erős fiókbiztonságot az emailekhez (egyedi jelszavak, kétfaktoros azonosítás)

Két héttel a jelentésük közzététele előtt Sára telefonhívást kap fő kormányzati forrásától ezzel a vizsgálattal kapcsolatosan. Sára jól ismeri a forrást, és megbízik benne. A hívás során a forrás egyszerűen azt mondja: “A kormány tudja - volt egy szivárgás”, és leteszi a telefont.

K4 - A digitális biztonság szempontjából melyek azok az első lépések, amelyeket a Sárának meg kell tennie egy esetleges információszivárgásra reagálva?

• Kérje meg a csapatát, hogy mindenki cserélje le jelszavait, arra az esetre, ha a támadó megszerezte volna a jelszót valamelyikük fiókjához.
• Vegye számba a lehetőséget, hogy a kormánynak nem kellett feltétlenül betörni a szerkesztősgébe. Tudomást szerezhettek a szivárogtatásról példéul úgy is, hogy kinyomozták, melyik kormányzati alkalmazott mit nyomtat.
• Végezzen egy kisebb vizsgálatot: ellenőrizze, hogy mindenki követte-e a protokollokat, kinek volt hozzáférése a kiszivárogtatott információhoz, és hogy egyáltalán mi szivrágott ki pontosan. A jogosultság kezeléssel és verzió követéssel könnyebben számontarthatják, hogy kinek milyen hozzáférése volt egyes információdarabkákhoz.
• Vegye fontolóra, hogy előbb publikálja az érintett anyagot.

Sára megtudja, hogy a szivárgás a szervezetén belülről érkezett. Egy tervezőnek hozzáférése volt a szervezet megosztott Google Drive-jához (annak ellenére, hogy nem dolgozott azon a feladaton). Sára ezt úgy tudta meg, hogy ellenőrizte a Google Drive hozzáférés-szabályozását, és rájött, hogy a tervezőcsapat a munka jellegéből adódóan mindenhez hozzáférhetett a hálózaton.

K5 - Mit tehetett volna Sára másképp ebben a helyzetben?

• Sárának biztonságos protokollokat kell létrehoznia a nyomozó csapata számára. Biztosítania kell a jogosultság rendszer tisztaságát, és hogy azt a gyakorlatban is betartsák.
• A csapat csak szükség szerinti alapon dolgozzon együtt a designerekkel. Ez azt jelenti, hogy semmilyen titkos információt ne kapjanak be egészen addig, amíg az nem feltétlenül szükséges a publikáláshoz.
• Sárának folyamatként érdemes felfognia a digitális biztonságot, nem pedig állapotként. A digitális biztonság olyasvalami, amit folyamatosan tovább kell fejleszteni.