Zasady bezpieczeństwa sygnalistów
Nawet najlepsze rozwiązania techniczne nie zapewnią odpowiedniego stopnia bezpieczeństwa i anonimowości jeśli sygnalista nie będzie stosował podstawowych zasad bezpieczeństwa.
Sygnalisto - zapamiętaj!
- Korzystaj z własnych urządzeń
- Korzystaj z własnych sieci
- Nie drukuj ani nie skanuj
- Nie używaj telefonów
- Nie używaj kart kredytowych
- Nie zmieniaj swoich nawyków
- Zminimalizuj swój cyfrowy ślad
Siedem głównych zasad bezpieczeństwa sygnalisty
Najtrudniejszą częścią informowania o nieprawidłowościach jest komunikacja. Musisz ustanowić bezpieczny kanał, aby wyodrębnić dokumenty z Twojej organizacji.
Komputery służą swoim właścicielom, a nie użytkownikom
Nie ma sposobu, aby powiedzieć, co robi twój komputer i jakie informacje będzie rejestrować, chyba że masz pewność, że nikt nigdy nie manipulował systemem operacyjnym. Najlepiej byłoby samodzielnie zainstalować system operacyjny na posiadanym komputerze lub użyć działającego systemu operacyjnego TAILS
z pamięci USB.
Przenoszenie dokumentów lub informacji z komputera, którego nie jesteś właścicielem, niesie ze sobą ogromne ryzyko wykrycia. Czasami lepiej sfotografować pliki własnym, prywatnym smartfonem lub zapisać krytyczne informacje na kartce papieru – choć to też niesie ze sobą spore ryzyko.
Staraj się nie odbiegać od swoich zwykłych wzorców i uzyskuj dostęp do informacji tylko tak, jak zwykle. Komunikując się z innymi, rób to tylko na urządzeniach, których jesteś właścicielem i które kontrolujesz.
Sieci rejestrują wszystkie informacje
Organizacja może rejestrować wszystkie naciśnięcia klawiszy, zrzuty ekranu lub programy na komputerze, a nawet wdrożyć pełne monitorowanie sieci. Sieć może oznaczać znacznikiem czasu i rejestrować nieprawidłowe wzorce ruchu lub dowolny fragment danych. Ponadto, jeśli masz dostęp do sieciowego dysku twardego, system lub dysk zarejestruje każdy dostęp każdego użytkownika.
Niektóre sieci posuwają się tak daleko, że łamią szyfrowanie TLS
w ataku typu man-in-the-middle i umieszczają swój certyfikat główny na komputerach firmy.
Korzystanie z VPN
lub sieci Tor
(na przykład przez TAILS
) może pomóc, ale w mocno monitorowanych sieciach operatorzy mogą podejrzewać ruch, którego nie są w stanie rozszyfrować.
Zawsze używaj sieci Tor
i VPN
do komunikacji i korzystaj z sieci będacych poza kontrolą Twojego pracodawcy.
Drukarki i skanery rejestrują wszystko
Podobnie jak w przypadku dysków sieciowych, większość drukarek, skanerów i kserokopiarek będzie przynajmniej prowadzić rejestr każdego drukowanego dokumentu — w tym znacznik czasu i użytkownika, który wykonał daną czynność. Niektóre drukarki przechowują nawet cyfrową kopię dokumentu na wewnętrznym dysku twardym.
Co ważniejsze, drukarki pozostawiają ślady cyfrowe na każdym drukowanym papierze, co umożliwia prześledzenie dokumentu z powrotem do pojedynczej drukarki. Te funkcje śledzenia zostały początkowo wdrożone, aby przyłapać ludzi drukujących banknoty w domu, ale stanowią jedną z najpoważniejszych przeszkód w prywatnym drukowaniu dokumentów.
Nie skanuj ani nie drukuj dokumentów. Raczej wyciekają dokumenty drukowane w formie fizycznej i dokumenty elektroniczne w formie elektronicznej. W celu zapewnienia maksymalnego bezpieczeństwa dobrym rozwiązaniem jest ręczne przepisywanie dokumentów z powrotem na dokument tekstowy .txt
, choć oczywiście będziesz musiał zniszczyć odręczne notatki.
Telefony są niezaszyfrowane i ujawnią Twoją lokalizację
Twoja firma może rejestrować lokalizację swoich telefonów, ale nawet jeśli nie, lokalizacja może być śledzona przez dostawcę usług telekomunikacyjnych i każdego, kto ma do niej dostęp.
Śledzenie telefonu może ujawnić poufne informacje, takie jak Twoje wizyty w instytucjach kontrolnych lub w mediach.
Wszystkie połączenia telefoniczne i wiadomości tekstowe są niezaszyfrowane, podobnie jak niektóre dane dotyczące przeglądania Internetu i aplikacji, a niektóre dane (i wszystkie metadane) są przechowywane przez długi czas.
Nie rozmawiaj ani nie pisz przez telefon. Podczas spotkań z innymi zostaw telefon w domu lub w pracy. Używaj tylko zaszyfrowanych komunikatorów np. Signal
. Jeśli potrzebujesz telefonu, kup używany za gotówkę. Jeśli możesz, nie aktywuj go w ogóle kartą SIM lub zdobądź kartę SIM typu prepaid za gotówkę i włączaj telefon tylko wtedy, gdy tego potrzebujesz, najlepiej daleko od domu.
Pieniądze zostawiają ślad
Twoje karty debetowe i kredytowe pozostawiają ślad tego, gdzie jesteś i o której godzinie, co może skłonić przeciwników do sprawdzenia nagrań bezpieczeństwa i innych dzienników transakcji, aby uzyskać szerszy ogólny obraz Twoich działań.
Podobnie Twój elektroniczny bilet komunikacji miejskiej może ujawnić, gdzie byłeś i czy było to nietypowe miejsce docelowe.
Płać za wszystko gotówką, spotykając się z tymi, których informujesz. Znajdź miejsce, w którym transakcje gotówkowe są powszechne lub bezpłatne, takie jak park publiczny.
Zapłać gotówką, jeśli możesz, i użyj kart podarunkowych lub Bitcoin
, jeśli musisz dokonać zakupu online.
Wszystko pozostawia metadane
Nie jest konieczne przeglądanie całej zawartości e-maili, czatów lub rozmów telefonicznych, aby dowiedzieć się, co zamierzasz. Sam fakt kontaktu z dziennikarzem lub organami ścigania może wystarczyć, aby skłonić do dalszego i głębszego dochodzenia.
Pamiętaj, że wszystko, co zrobisz lub powiesz, pozostawi metadane. Każde kliknięcie, każde wyszukiwanie w Google, wydruk, wiadomość tekstowa, przeciągnięcie karty kredytowej lub przejazd autobusem pozostawia niewielką ilość informacji, które mogą Cię zidentyfikować. Nawet poczta papierowa jest skanowana i rejestrowane jest jej pochodzenie i miejsce doręczenia.
Metadane oznaczają wszystko, a nawet zmiany w Twoim codziennym schemacie mogą wydawać się podejrzane. Jeśli regularnie przebywasz w domu, zostaw telefon w domu i włącz telewizor, aby sprawić wrażenie, że twoje życie jest takie, jak zwykle. Jeśli wychodzisz i lubisz spędzać czas w barach, lepiej jest tam kogoś spotkać, zamiast nagle spędzać czas w parku.
Bądź świadomy swojego cyfrowego śladu i staraj się ograniczyć do minimum wszelkie jego zmiany. Użyj oprogramowania, aby znaleźć i usunąć metadane z wysyłanych plików. Rozważ typy plików, które nie mają tak wielu metadanych, takie jak .txt
i .png
.
Cyfrowe informowanie o nieprawidłowościach
Internet zapewnia wiele możliwości zachowania prywatności i anonimowości, bardziej niż jakakolwiek inna technologia. Jeśli jesteś bystry, możesz wirtualnie zniknąć z internetu i bezpiecznie komunikować się z innymi bez ryzyka wykrycia.
Nie dotyczy to jednak każdej sytuacji. O wiele łatwiejsze może być anonimowe wysłanie dokumentów do lokalnej gazety niż znalezienie reportera, który będzie w stanie chronić Cię elektronicznie.