Link Search Menu Expand Document

Anonimowość sygnalistów

Potencjalni sygnaliści często nie decydują się na podjęcie działania w obawie przed ujawnieniem ich tożsamości i wyciągnięciem konsekwencji z tytułu zgłoszenia. Dlatego tak ważne jest przygotowanie mechanizmów zapewniających anonimowość dla sygnalistów.


Spis treści
  1. Zgodność z ISO 37001
  2. Główne mechanizmy zapewniające anonimowość
  3. Zagrożenia dla anonimowości i poufności
    1. Historia przeglądarki i pamięć podręczna
    2. Metadane
    3. Serwery pośredniczące typu proxy
    4. Dane przechowywane poza skrzynką kontaktową
    5. Czynniki środowiskowe
    6. Nieprawidłowe zasady przechowywania danych
    7. Zaniedbania ludzkie
    8. Zaawansowana analiza ruchu

Podmioty sektora prywatnego i publicznego muszą wdrożyć wewnętrzne kanały umożliwiające dokonywanie zgłoszeń nieprawidłowości przez sygnalistów. Muszą także przyjąć mechanizmy, które będą zapewniać takim osobom skuteczne środki ochrony przed działaniami odwetowymi, czyli gwarantujące poufność. Jednak jedynie zapewnienie realnej anonimowości zgłoszeń, a nie sama deklaracja o tym, będzie zachęcać sygnalistów do zgłaszania naruszeń.

Zgodność z ISO 37001

W ekosystemie technologii dla sygnalistów, GlobaLeaks jest wiodącym rozwiązaniem zgodnym z normą ISO 37001 (systemy zarządzania antykorupcyjnego), która wymaga, aby sygnaliści mogli zgłaszać się anonimowo, jak podkreślono w punkcie 8.9, podpunkcie c) normy.

GlobaLeaks osiąga tę anonimowość dzięki integracji technologii Tor (patrz: Szyfrowanie). Zarówno podmioty publiczne, jak i prywatne podlegające wymaganiom prawnym w zakresie przyjmowania zgłoszeń od sygnalistów, doceniają łatwość i opłacalność anonimowej skrzynki kontaktowej opartej na GlobaLeaks.

Główne mechanizmy zapewniające anonimowość

  • Zapewnienie szyfrowania ruchu sieciowego z wykorzystaniem Tor Onion Services Version 3.
  • Zapewnienie szyfrowania HTTPS za pomocą certyfikatu Let’s Encrypt.
  • Brak zapisywania danych typu adres IP albo typ urządzenia, co uniemożliwia zidentyfikowanie sygnalisty.
  • Wiele testów penetracyjnych z pełnymi raportami publicznymi.
  • Zgodność ze standardami branżowymi i najlepszymi praktykami w zakresie bezpieczeństwa aplikacji, postępując zgodnie z wytycznymi OWASP Security Guidelines.
  • Obsługa uwierzytelniania dwuskładnikowego (2FA) zgodna ze standardem TOTP RFC 6238.
  • Zintegrowana separacja ruchu sieciowego z pomocą iptables.
  • Zintegrowana separacja aplikacji z użyciem AppArmor.
  • Nie pozostawia śladów w pamięci podręcznej przeglądarki.
  • Pełna ochrona przed automatycznymi zgłoszeniami (zapobieganie spamowi).
  • Podlega ciągłym testom i okresowym audytom bezpieczeństwa (otwarty kod źródłowy).
  • Obsługa PGP dla zaszyfrowanych powiadomień e-mail.

Zagrożenia dla anonimowości i poufności

Żaden system informatyczny nie jest w 100% bezpieczny. Żaden system nie daje także 100% gwarancji zachowania anonimowości. Poniżej zaprezentowano najczęstsze możliwości obniżenia poziomu bezpieczeństwa i anonimowości sygnalisty.

Historia przeglądarki i pamięć podręczna

Używając odpowiednio przygotowanych nagłówków HTTP i innych mechanizmów, system GlobaLeaks stara się zapobiec wyciekowi informacji do historii przeglądarki lub pamięci podręcznej przeglądarki. Ta funkcja prywatności nie gwarantuje pełnego bezpieczeństwa użytkownika przed specjalistyczną analizą (np. kryminalistyczną) pamięci podręcznej przeglądarki i/lub historii, ale jest dostarczana jako dodatkowy środek bezpieczeństwa.

Metadane

Każdy plik może zawierać metadane dotyczące autora lub sygnalisty. Czyszczenie metadanych przesłanych plików to szczególny temat, który ma na celu ochronę „nieświadomego” sygnalisty przed ujawnieniem informacji w dokumencie, które mogą zagrozić jego anonimowości. W kontekście aplikacji GlobaLeaks domyślnie nie jest zaimplementowane automatyczne czyszczenie metadanych, ponieważ metadane są uważane za fundamentalne w ochronie dowodów. Z tego powodu czyszczenie metadanych jest opcjonalną operacją, która może być sugerowana sygnalistom oraz odbiorcom (tym drugim podczas udostępniania dokumentu innym osobom). Cennym źródłem oprogramowania do tego celu jest zestaw narzędzi do anonimizacji metadanych.

Serwery pośredniczące typu proxy

GlobaLeaks jest przeznaczony do użytku przez użytkowników końcowych z bezpośrednim połączeniem Tor lub TLS z przeglądarki użytkownika do aplikacji. Jakiekolwiek korzystanie z sieci i serwerów typu reverse proxy jest odradzane; urządzenia te mogą znacząco zakłócać działanie aplikacji i obniżać jej bezpieczeństwo, tracąc wszelkie środki poufności i anonimowości wdrożone w ramach aplikacji.

Dane przechowywane poza skrzynką kontaktową

Aplikacja nie zapewnia żadnego rodzaju zabezpieczenia danych przechowywanych poza anonimową skrzynką. Odbiorcy są odpowiedzialni za ochronę danych, które pobierają z aplikacji na swój komputer osobisty lub które udostępniają innym osobom np. za pomocą zewnętrznych dysków USB. Zastosowany system operacyjny lub pendrive powinien oferować szyfrowanie i gwarantować, że w przypadku utraty lub kradzieży urządzenia nikt nie będzie miał dostępu do zawartych w nim danych.

Czynniki środowiskowe

System zgłoszeń dla sygnalistów nie chroni przed czynnikami środowiskowymi związanymi z fizyczną lokalizacją użytkowników i/lub ich wzajemnymi relacjami. Na przykład, jeśli użytkownik posiada ukryty monitoring w swoim domu, aby monitorować całą jego aktywność, aplikacji nie może go chronić. Podobnie, jeśli informator, który powinien być anonimowy, opowie swoją historię znajomym lub współpracownikom, żaden dodatkowy system nie może ich ochronić.

Nieprawidłowe zasady przechowywania danych

W aplikacji dla sygnalistów domyślnie wdrażono politykę przechowywania danych do 90 dni, aby umożliwić użytkownikom działanie na zgłoszeniu przez ograniczony czas niezbędny do prowadzenia dochodzeń. Jeśli platforma jest skonfigurowana do przechowywania każdego raportu przez długi czas, a odbiorcy nie usuwają ręcznie niepotrzebnych raportów, wartość danych platformy dla atakującego wzrasta, a wraz z nią rośnie ryzyko.

Zaniedbania ludzkie

Chociaż zapewniamy administratorowi możliwość dostrojenia konfiguracji związanych z bezpieczeństwem i chociaż stale informujemy użytkowników o ich kontekście związanym z bezpieczeństwem na każdym etapie interakcji, aplikacja nie może chronić przed żadnymi poważnymi zagrożeniami bezpieczeństwa wynikającymi z zaniedbań ze strony ludzi. Na przykład, jeśli sygnalista przekaże dane, które osoba trzecia może wykorzystać do zidentyfikowania go jako unikalnego właściciela lub osoby, która niedawno przeglądała te dane, wówczas system nie może go chronić.

Zaawansowana analiza ruchu

Atakujący monitorujący ruch HTTPS, bez możliwości jego odszyfrowania, nadal może zidentyfikować rolę przechwyconych użytkowników, ponieważ interfejsy dla sygnalistów, odbiorców i administratorów generują różne wzorce ruchu sieciowego. Aplikacja nie zapewnia ochrony przed tym zagrożeniem. Sugerujemy użycie Pluggable Transport lub innych metod, które zapewniają dodatkową ochronę przed tego rodzaju atakiem.