В защите источников сначала составляют модель угроз.
Модель угроз - это способ разобрать, «от кого, что и в какой степени нужно защищать».
Риски меняются в зависимости от того, кто источник: сотрудник компании, госслужащий, активист или информатор. Нужные меры меняются и в зависимости от того, кто находится с другой стороны: частный преследователь, следственное подразделение компании или государственный орган.
Если выбирать только инструменты без модели угроз, можно защищать не то место.
От кого защищать
Сначала подумайте, кто может пытаться установить источник.
У разных противников разная видимость информации, доступные методы и возможности расследования.
Сторона
Что может делать
Начальники и коллеги на работе
Сопоставлять рабочие записи, информацию внутри отдела и то, кто что знал
Компания или организация
Проверять журналы доступа, историю просмотра материалов, проводить внутреннее расследование
Процессуальный оппонент
Добиваться раскрытия записей, давить на связанных лиц, собирать доказательства
Государственный орган
Использовать записи связи, изъятие устройств, широкое расследование
Онлайн-атакующие
Собирать историю публикаций, SNS, изображения и открытую информацию
Нельзя победить всех противников одними и теми же мерами.
Если сначала определить реалистичные угрозы, легче избежать как чрезмерных, так и недостаточных мер.
Что защищать
Затем разделяют объекты защиты.
Недостаточно защищать только «имя источника». Объектами защиты становятся сам факт контакта, факт доступа к материалам, принадлежность к конкретному отделу, место съемки, стиль письма и время.
Что защищать
Примеры
Личность
Имя, лицо, принадлежность, контактные данные
Факт контакта
Когда и с кем был контакт
Происхождение материалов
Автор, зрители, права доступа
Время действий
Время отправки, съемки, входа в аккаунт
Особенности в статье
Внутренние обстоятельства, характерные выражения, положение
Источник может оказаться под подозрением, даже если его имя не опубликовано.
Если материал могли видеть только несколько человек, сам тип материала становится сильной подсказкой.
По каким каналам происходит утечка
Путей утечки несколько.
Коммуникация, файлы, содержание статьи, обмен внутри редакции, реакция после публикации. По любому из них можно приблизиться к источнику.
Канал
Какая информация утекает
Средства связи
Почта, DM, история звонков, IP, время
Файлы
Метаданные, автор, история правок, сведения о съемке
Облако
Владелец, журналы просмотра, история доступа, комментарии
Текст статьи
Отдел, хронология, содержание свидетельства, внутренние обстоятельства
После публикации
Кто отреагировал, кто промолчал, внутреннее расследование организации
Меры нужно продумывать по каждому пути утечки.
Даже если использовать или SecureDrop, это не поможет, если источник понятен из текста статьи.
Здесь часто возникает ошибочное представление, будто для защиты источника достаточно защитить только канал связи.
Безопасный способ связи важен. Но способ связи - лишь часть защиты источника.
Например, даже если источник отправил материалы через анонимную форму, происхождение сузится, если внутри материалов остались имя автора, название отдела, история правок или водяной знак получателя.
Если в статье написать «по словам человека, присутствовавшего на этом совещании», внутри организации кандидатов могут сузить по списку участников.
Что кажется защищенным
Оставшаяся опасность
Анонимная форма
Можно понять по метаданным или содержанию отправленных материалов
Зашифрованные сообщения
Остаются уведомления на устройстве, время контакта, журналы на стороне собеседника
Почта под псевдонимом
Можно понять по стилю письма, вложениям, среде создания
Анонимное обозначение в статье
Кандидаты сужаются по содержанию свидетельства или положению
В защите источников нужно смотреть вместе на канал связи, материалы, текст и реакцию после публикации.
Разделять силу риска
Не каждое интервью требует мер одинаковой силы.
Легкая местная тема отличается по риску от организованной преступности, коррупции, национальной безопасности и внутреннего сообщения о нарушениях.
Риск
Ситуация
Как думать
Низкий
Работа на основе открытой информации
Базовая проверка и согласие
Средний
Свидетельство с просьбой об анонимности
Управление каналом связи, цитатами и атрибутами
Высокий
Внутренние материалы или сообщение о нарушениях
Выделенный канал, управление материалами, предотвращение выводов из статьи
Очень высокий
Затронуты государство или сильная организация
Профессиональная консультация, разделение сред, осторожное решение о публикации
Для высокорисковых материалов важно не действовать единолично.
Нужна возможность консультироваться с редакцией, специалистами, юристами и ответственными за безопасность.
Что решить до начала контакта
Модель угроз составляют не после интервью, а до него.
Если один раз связаться через почту с настоящим именем или SNS DM, этот след нельзя стереть задним числом. Если загрузить материалы в обычное облако, останутся журналы и история доступа.
Что решить до контакта
Причина
Средство связи
Первый контакт легче всего становится следом
Способ получения материалов
Нужно управлять метаданными и историей доступа
Место хранения
Ограничить круг доступа внутри редакции
Обращение с цитатами
Не дать вычислить свидетеля обратным путем
Время публикации
Избежать корреляции с внутренним расследованием
Прежде чем говорить источнику «просто отправьте», определите способ получения.
Что учитывать при подготовке статьи
Защита источника не заканчивается в момент получения информации.
На этапе написания статьи решают, какие детали, указывающие на источник, оставить. Информацию, нужную читателю, отделяют от информации, опасной для источника.
Например, для объяснения внутреннего сообщения о нарушениях может быть нужна отрасль: «медицинское учреждение», «местная администрация», «логистическая компания». Но не всегда нужно указывать конкретный филиал, дату совещания, должность, количество людей и внутреннее название, понятное только сотрудникам.
Информация в статье
Что проверять
Должность или отдел
Не сужаются ли кандидаты до нескольких человек
Дата или время
Не сопоставляется ли это с журналами доступа или протоколами совещаний
Внешний вид материала
Не видны ли водяные знаки получателей или номер версии
Цитата
Не остались ли выражения, характерные для самого человека
Время публикации
Не слишком ли оно совпадает с внутренней проверкой или событием
Когда информацию обобщают для защиты источника, статья иногда теряет убедительность. В таком случае решение о том, что оставить и что убрать, является редакционным.
Недостаточно просто написать «пожелал остаться анонимным». Нужно привести материал к виду, при котором читатели и связанные лица не смогут вычислить, кто этот человек.
Объяснять это источнику
Защита источника не замыкается на журналисте или редакции.
Если сам источник использует опасный способ связи, реагирует в SNS после публикации или рассказывает окружающим, защита слабеет. Поэтому в высокорисковых материалах источнику тоже объясняют минимальные меры предосторожности.
Что объяснить
Причина
Избегать обычного устройства и рабочей сети
Это остается во внутренних журналах и управлении устройством
Не отправлять материалы как есть
Остаются метаданные и водяные знаки
Не реагировать чрезмерно после публикации
Человека могут заподозрить как связанное лицо
Не рассказывать окружающим
Информация распространяется через тех, с кем советовались
Не менять канал связи
Выход за пределы безопасного канала увеличивает следы
Чтобы защищать источник, нужно вместе понимать, какие действия для него опасны.
Итоги
Для защиты источника нужна модель угроз.
Она разбирает, от кого защищать, что защищать, по каким каналам может произойти утечка и насколько силен риск.
Источник может быть заподозрен, даже если его имя не опубликовано.
Круг кандидатов может сузиться по времени контакта, типу материала, деталям в статье и времени публикации.
Отправная точка защиты источника - сначала определить, от кого и какую информацию нужно защищать, а уже потом выбирать инструменты.
Связанные инструменты
Whistleblower submission
SecureDrop
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
Для защиты источника сначала определяют, от кого, что и по каким путям утечки нужно защищать, а уже затем выбирают каналы связи, работу с материалами и решения перед публикацией.