Работа с чувствительными данными и участие в активистских инициативах требуют повышенного внимания к вопросам безопасности. В условиях репрессий, особенно если вы находитесь в России или в странах с жесткими ограничениями, важно выстроить личную и командную защиту, чтобы минимизировать риски. Этот гайд разработан на основе практического опыта активистов и экспертов сообщества KARTU, которые поделились своими знаниями и рекомендациями по вопросам комплексной безопасности.
Определите ценности и приоритеты безопасности
Прежде чем разрабатывать систему защиты, определите, какие аспекты безопасности для вас наиболее важны. Например, вам может быть важно защитить данные, сохранить анонимность финансовых операций, обеспечить физическую безопасность человека, чтобы его не задержали и не арестовали, если он работает из России/Беларуси. Не менее важно учитывать и психическое здоровье, которое тоже требует защиты. Эти приоритеты будут основой для дальнейших шагов в организации безопасности.
Конкретизируйте, чего именно вы боитесь
Первый шаг в оценке безопасности — это выявление всех возможных рисков и угроз. Чтобы получить четкую картину, нужно составить список всего, чего вы боитесь. Важно разделить риски и угрозы, поскольку риск — это вероятность чего-то негативного, а угроза — это конкретное событие, которое может произойти.
Выпишите даже самые маловероятные ситуации, которые могут казаться абсурдными на первый взгляд. Например, если вам кажется, что человек в черном может выскочить из шкафа, включите это в список. На этом этапе важно не упускать ничего, так как каждый страх может быть связан с реальными угрозами.
Оцените вероятность каждой угрозы по матрице рисков
После того как вы конкретизировали страхи, оцените, насколько вероятно, что каждая из угроз реализуется. Для этого используйте матрицу рисков: оцените угрозу по шкале вероятности (например, от 1 до 5) и по шкале воздействия (от 1 до 5). Поставьте точку на пересечении этих значений в матрице. Таким образом, можно наглядно увидеть, какие угрозы требуют наибольшего внимания и какие меры нужно предпринимать для их минимизации. Некоторые из них могут быть маловероятными, но иметь серьезные последствия, другие — более вероятными, но с меньшими последствиями.
Особенно высокие риски возникают у тех, кто продолжает работать в России/Беларуси. В таких случаях и вероятность угрозы, и ее последствия оказываются значительными. Если по вашей оценке что-то попадает в темно-серую зону — то есть имеет высокую вероятность реализации и серьезные последствия — с этим необходимо работать в первую очередь.
Снижение риска начинается с осознания прошлых ошибок. Например, раньше активизм был менее опасен, и многие активисты не использовали псевдонимы, открыто указывая свои имена и фамилии в интервью или публикациях. Однако, изменившиеся условия требуют пересмотра этих подходов. Алексей из инициативы «Пережила» поделился своим опытом: «Когда я начинал заниматься активизмом, все было более беззубым, более сахарным. А сейчас некоторые вещи могут повлиять на меня нынешнего».
Проведите работу по снижению рисков
Прежде чем предпринимать дальнейшие шаги для обеспечения безопасности, важно оценить, что вы уже делаете для защиты. Это может быть регулярная смена паролей, использование менеджеров паролей или простая, но важная привычка не распространять информацию о своем местоположении.
Например, можно воспользоваться 1Password. Это менеджер паролей, который позволяет безопасно хранить и управлять паролями, а также генерировать сложные пароли для ваших учетных записей. Для журналистов у 1Password есть специальная акция, которая предоставляет бесплатный доступ к сервису на два года. Чтобы его получить, необходимо отправить свои статьи для подтверждения. Подробную информацию можно найти на их сайте.
Пересмотрите свою открытую активность и, по возможности, анонимизируйтесь в публичном пространстве
Чтобы снизить риски, важно пересмотреть свою публичную активность. Например, если в статьях использовалось ваше настоящее имя или фотография, можно обратиться к изданиям с просьбой удалить или изменить эти данные. Однако стоит помнить, что информация, опубликованная в интернете, может сохраняться в архивных копиях. Она остается доступной даже после удаления.
Например, с помощью Wayback Machine можно проверить, сохранились ли старые версии страницы с вашими данными до внесенных изменений. Для этого введите URL статьи на сайте web.archive.org и просмотрите сохраненные копии на нужные даты. Если старая версия была заархивирована, она может по-прежнему быть доступной через веб-архив.
В октябре 2024 года интернет-архив подвергся взлому, в результате чего утекли данные 31 миллиона пользователей, включая почту, никнеймы и зашифрованные пароли. Поэтому при регистрации на различных платформах важно избирательно делиться персональной информацией. Например, избегать использования настоящего имени и фамилии, а также разделять личную и рабочую почту. Проверить, утекли и ваши данные в сеть, можно на сайте haveibeenpwned.com, введя вашу почту в строку поиска.
Создайте протокол безопасности
Протокол безопасности — это документ, который помогает структурировать действия в случае чрезвычайных ситуаций. Его создание — это не просто формальность, а реальная возможность снизить риски и быть готовым к разным сценариям. Протоколы могут касаться различных аспектов жизни: от пересечения границ до защиты данных и поведения при обысках.
Например, одной из важных ситуаций является обыск. В протоколе может быть указано, кого из команды следует первым оповестить об обыске (например, руководителя), также в этом документе можно привести несколько телефонов адвокатов. Эти номера всегда должны быть сохранены на телефоне сотрудников, чтобы в экстренной ситуации можно было набрать их, не обращаясь к полному тексту протокола безопасности. «Я прошу дать мне 5 минут, говорю, что я голый и одеваюсь. В этот момент я звоню в ОВД-Инфо или своему адвокату и удаляюсь из чатов», — приводит пример Алексей.
Важно не только иметь план действий, но и следовать определенным принципам, чтобы не усугубить ситуацию. Например, при общении с представителями власти во время обыска важно сохранять спокойствие и вести себя вежливо. Агрессивное поведение может лишь ухудшить положение, поэтому лучше придерживаться сдержанного тона и не провоцировать конфликт.
Ключевой аспект подготовки — знание своих прав. Правоохранительные органы часто пользуются ситуацией, когда человек не знает, что ему разрешено. Поэтому важно на этапе составления протокола безопасности проконсультироваться с юристом и узнать свои права, такие как право на адвоката, требование присутствия понятых и соблюдение других юридических норм. Ответы на многие правовые вопросы можно найти в инструкциях ОВД-инфо.
Обзаведитесь доверенным лицом на случай экстренных ситуаций
Одним из важных аспектов личной безопасности является наличие доверенного лица, способного оперативно действовать в случае чрезвычайной ситуации, когда вы сами не в состоянии это сделать. «Пока со мной что-то происходит, этот человек координирует действия других, каждый из которых отвечает за свою зону: кто-то удаляет меня из чатов, а моя мама уже связывается с адвокатом», — объясняет Алексей.
Кроме этого, доверенное лицо может хранить у себя важные документы и оборудование, такие как второй ноутбук, жесткий диск или загранпаспорт, чтобы в случае изъятия основной техники у вас оставались резервные варианты.
«Мое доверенное лицо — человек из активистской тусовки, но он не публичный. Это важно, потому что к нему вряд ли придут в первую очередь, а может, и вообще не узнают о его существовании», — добавляет Алексей.
Оценка рисков при организации оффлайн мероприятий
Организация мероприятий, особенно в условиях повышенного риска, требует тщательной подготовки и проработки протоколов безопасности. Опыт активистов показывает, что даже, казалось бы, мирные мероприятия могут привлечь внимание правоохранительных органов.
Алексей делится своим опытом проведения акции, которая на первый взгляд не предполагала проблем: «Мы говорили о проблеме домашнего насилия, собирали деньги и передавали их в местное НКО. Казалось бы, к чему тут можно придраться? Но товарищи майоры все равно пришли». Они узнали о мероприятии через платформу, где оно было анонсировано, и начали проверку.
Этот случай показал, что даже в самых безопасных на первый взгляд акциях могут быть риски. После инцидента было решено проводить мероприятия в закрытом формате. «Мы засекретили площадку, и узнать ее адрес можно было только после верификации участников», — рассказывает Алексей. Это решение уменьшило количество участников, так как не все были готовы пройти проверку, но позволило минимизировать риски.
Верификация участников может включать различные методы в зависимости от конкретного мероприятия: проверку личности по открытым источникам, заполнение анкеты с вопросами, подтверждение через общих знакомых или через активистские/журналистские организации, а также использование капчи для защиты от ботов.
Ключевым элементом протокола безопасности для мероприятий является четкое разделение обязанностей между организаторами. «У нас был прописан план: если приходит полиция, один человек говорит с правоохранителями, другой — успокаивает участников», — добавляет Алексей.
Не менее важным является взаимодействие с площадками. Алексей отмечает, что открытое общение с владельцами мест проведения помогает минимизировать риски: «Я прямо сказал арендодателям, что в прошлом году у нас были проблемы с полицией, но мы продолжаем работать. К счастью, площадка пошла нам навстречу, и администратор согласился присутствовать на мероприятии, чтобы помочь уладить возможные ситуации».
Однако даже при соблюдении всех мер предосторожности организаторы могут по-прежнему сталкиваться с высоким риском. Алексей признается, что, как квир-человек, он столкнулся с дополнительными угрозами. «Мне посоветовали не присутствовать на мероприятии физически, чтобы не попасть под статью об экстремизме. Это грустно, но необходимо для моей безопасности», — делится он.
«Если я знаю, что на мероприятие может прийти человек, за которым уже следят, или на которого охотятся, я лично за то, чтобы отказать ему в участии. Потому что мы подставим еще 20 человек», — говорит Алексей. Он подчеркивает, что даже если речь идет о важном и известном спикере, чье участие могло бы привлечь внимание, он не станет рисковать безопасностью всей группы ради одной персоны. «Пригласить кого-то, за кем придут менты, — это ставить под угрозу всех остальных. Я не возьму этого спикера», — объясняет Алексей свою позицию.
Пройдите тренировки по цифровой, финансовой и личной безопасности
Проект Секьюрно — это виртуальный помощник, который помогает пользователям выстраивать систему защиты через серию упражнений и обучающих материалов. В основе проекта — идея кастомизации и адаптации под индивидуальные потребности каждого пользователя. «Наша цель — формировать здоровые привычки и заранее систематизировать информацию, чтобы человек мог защитить себя, когда это будет действительно необходимо», — рассказывает Дарья, одна из создателей проекта.
«Секьюрно» помогает пользователям структурировать знания и выполнять практические задания, такие как установка двухфакторной аутентификации или создание личного протокола безопасности. После каждого занятия в трекер задач добавляется задание с подробной инструкцией. «Мы стараемся не перегружать пользователя, поэтому система предлагает только те материалы, которые ему действительно нужны. Но всегда остается возможность добавить что-то по желанию», — отмечает Дарья.
Проект также поддерживает актуальность своих данных и оперативно обновляет материалы в зависимости от новостной повестки и изменений в мире цифровой безопасности. Пользователи могут получать уведомления о новых угрозах и решениях через почту или Telegram-бот, что делает систему гибкой и удобной для использования. Помимо личного использования, «Секьюрно» предлагает решения для команд, позволяя организаторам следить за прогрессом своих сотрудников и адаптировать программу под нужды команды.
Системный подход к безопасности при работе с сообществом
Создание протокола безопасности — это первый шаг к построению защищенного сообщества. Участница дискуссии, фандрайзер Алиса Скопинцева отмечает: «Протокол безопасности должен быть прописан до того, как мы создаем сообщество, чтобы с этими правилами соглашались все вступающие или не соглашались, и тогда они не вступают». Протокол должен быть четким и понятным для каждого участника, а его разработка — основываться на опыте других организаций, что поможет учесть возможные риски.
Если же речь идет о сообществе, которое уже существует, важно провести аудит безопасности. Например, оцените используемые каналы связи, проверьте методы аутентификации и оцените безопасность данных. Это позволит выявить уязвимости и предложить участникам принять обновленные правила. Алиса подчеркивает: «Мы должны провести аудит и предложить людям возможность согласиться с новыми правилами или от них отказаться».
Метод принятия решений внутри сообщества может существенно влиять на поведение его участников. В исследовании о донорстве органов выяснилось, что в странах, где донорство предполагается по умолчанию, люди чаще остаются донорами, чем там, где необходимо дать активное согласие. «С протоколом безопасности нужно действовать аналогично: дать людям возможность сделать выбор, но так, чтобы отказ требовал активного действия», — говорит Алиса Скопинцева.
Согласие с ценностями и протоколом сообщества
Прежде чем стать частью сообщества, важно убедиться, что человек понимает и принимает его ценности, а также требования к безопасности. Первым шагом является согласие с ценностями сообщества, а вторым — принятие протоколов безопасности. Если на этом этапе возникают разногласия, сообщество должно тщательно оценить, готов ли этот человек стать его частью.
Верификация участников
Верификация — это важный этап в принятии новых участников. «Лучше быть жесткими на этом этапе, потому что это обезопасит нас от всех рисков после того, как человек станет частью сообщества», — отмечает Алиса. Задавайте детальные вопросы, проверяйте через открытые источники, и используйте помощь внешних экспертов по безопасности, если это необходимо.
Некоторые организации требуют аффиляции с другими надежными сообществами или предоставления рекомендательных писем, что помогает исключить нежелательные риски. «Если человек согласен отвечать на все эти вопросы, и у него не вызывает сомнения, почему его это спрашивают, то мы понимаем, что он понимает, в каком мире мы живем», — добавляет она.
Этот процесс помогает исключить потенциально неблагонадежных участников и убедиться, что все понимают, какие риски связаны с участием в сообществе.
Онбординг: выявление личных рисков и тест-драйв
После верификации нового участника важно провести детальный онбординг.
Выявление личных рисков. Для начала нужно выяснить, находится ли человек в России/Беларуси , является ли он известным активистом или участвует в каких-то опасных активностях. Эти факторы напрямую влияют на уровень риска для всего сообщества.
Красные зоны. Участники должны осознавать, что пересечение границ или временный выход из сообщества может угрожать их безопасности и безопасности других. Особенно в критические моменты, такие как поездки за границу или временное прекращение активности в сообществе.
Тест-драйв по безопасности. «Важно делать ситуативное обучение, чтобы люди не просто абстрактно понимали ситуацию, которая может случиться, а отрабатывали ее», — подчеркивает Алиса. Например, участники сообщества могут отрабатывать сценарии, где они должны быстро скрыть следы своей онлайн-активности или защитить устройства от конфискации. Такая практика помогает действовать уверенно и по протоколу в реальных ситуациях, требующих моментальной реакции.
Оффбординг: безопасное завершение участия
Оффбординг должен быть не менее строгим и продуманным, чем процесс вступления в сообщество, так как именно в этот момент может возникнуть угроза утечки данных. При завершении сотрудничества по любой из причин следует отключить бывшего участника сообщества от всех аккаунтов и чатов, в первую очередь следует удалить доступ к любым облачным хранилищам, почтовым аккаунтам и внутренним системам. Также необходимо проконтролировать возврат любых предоставленных устройств и убедиться, что бывший участник не сохраняет копий конфиденциальной информации.
Реактивное реагирование
Реактивное реагирование — это навык, который особенно важен в активистских сообществах. Хотя подходы к нему могут быть разными, ключевым фактором остается наличие человека, способного быстро и грамотно принимать решения в критических ситуациях. Это может быть безопасник или опытный человек, как изнутри команды, так и приглашенный извне.
Если такого человека нет, можно обратиться на горячую линию платформы Access Now. Это платформа, предоставляющая круглосуточную срочную помощь по цифровой безопасности для гражданского общества, активистов, журналистов и НКО. Их горячая линия работает 24/7 и предлагает оперативную поддержку в случае утечек данных, взломов и других цифровых угроз. Помимо экстренной помощи, Access Now организует консультации и проводит тренинги по запросу, помогая организациям и отдельным лицам усиливать свои меры безопасности. Их услуги включают защиту коммуникаций, устройств и чувствительных данных, снижая цифровые риски для пользователей.
Важно, чтобы все члены команды были осведомлены о действиях в случае чрезвычайной ситуации и имели доступ к инструментам для быстрого реагирования. Это могут быть инструменты для исключения людей из чатов, деактивации почтовых ящиков или других оперативных мер, направленных на защиту данных и участников сообщества. Например, если у активиста конфисковывают телефон на границе, команда должна незамедлительно принять меры: удалить его из чатов и отключить все доступы.
Как сделать коммуникации в сообществе более защищенными
Для защищенной коммуникации используйте секьюрные мессенджеры, такие как Element и Signal, которые предлагают сквозное шифрование сообщений по умолчанию. После установки приложения включите двухфакторную аутентификацию и блокировку экрана для дополнительной защиты устройства. В Telegram создавайте секретные чаты, чтобы обеспечить сквозное шифрование, поскольку обычные чаты там не защищены таким образом.
Используйте облачные сервисы для хранения данных, чьи серверы расположены за пределами России и других стран с высоким уровнем контроля интернета, например ProtonDrive, Tuta или Tresorit, которые предлагают зашифрованное облачное хранение.
Рекомендуется не только включить двухфакторную аутентификацию на всех сервисах, но и регулярно проводить проверки безопасности, такие как обновление паролей, проверка разрешений на доступ и отключение неиспользуемых устройств.
Дополнительно можно настроить автоматическое удаление сообщений через определенное время в таких мессенджерах, как Signal и Telegram, чтобы минимизировать риски утраты информации.
Подробнее про безопасность онлайн читайте в нашем гайде по цифровой безопасности.
Автор: Вика Ламповая