Как думать об анонимности при сообщении о нарушениях
Как осведомителям думать об анонимности
Анонимность при сообщении о нарушениях имеет иной вес, чем обычная анонимная публикация.
Другой стороной может быть организация, которая не хочет терять информацию. У нее могут быть внутренние журналы, права доступа, история распространения документов, камеры наблюдения, записи входа и выхода, управление устройствами, история электронной почты.
При сообщении о нарушениях нужно защищать не только имя.
Кто работал с материалами? Кто знал этот факт? Кто мог действовать в это время? Кто мог вынести этот документ? По таким условиям круг осведомителей сужается.
При сообщении о нарушениях вопросом становится происхождение информации
При сообщении о нарушениях само содержание является сильным признаком.
Например, материалы, которые может видеть только конкретный отдел, протоколы ограниченного совещания, электронная почта, разосланная небольшому числу людей, фотография, которую можно было сделать только на месте. Даже если отправить такую информацию анонимно, возникает вопрос: «у кого она могла быть?»
| Тип информации | Кого могут подозревать |
|---|---|
| Материалы с ограниченной рассылкой | Получатели, читатели, администраторы |
| Материалы совещания | Участники, секретариат, руководители |
| Внутренняя почта | Получатели, переславшие, системные администраторы |
| Фото с места | Люди, бывшие на месте, вошедшие и вышедшие |
| Экран рабочей системы | Люди с правами доступа |
При сообщении о нарушениях круг кандидатов сужается по происхождению информации, даже если скрыт канал связи.
Это большое отличие от обычной анонимной публикации. При публикации на анонимном форуме основной проблемой могут быть IP-адрес или аккаунт автора. Но при сообщении о нарушениях материалы и факты сами содержат информацию о том, «кто мог это знать».
Например, если определенный материал могли видеть только пять человек, даже при скрытом канале связи кандидатов остается пять. А если дополнительно совпадают время публикации, версия материала, стиль текста и время отправки, круг становится еще уже. При сообщении о нарушениях важно не думать об анонимности только как о связи.
У организации есть внутренние журналы
Организация, которая становится другой стороной при сообщении о нарушениях, имеет больше информации, чем внешний третий участник.
История доступа к файловому серверу, история просмотра в облаке, журналы принтера, записи входа и выхода, журналы электронной почты, камеры наблюдения, записи действий на рабочих устройствах и т. п.
| Журнал | Что можно понять |
|---|---|
| Журнал доступа к файлам | Кто открыл материал |
| История облака | Кто просматривал, делился или скачивал |
| История принтера | Кто и когда печатал |
| Записи входа и выхода | Кто был в этом месте |
| Журналы электронной почты | Кто отправлял, получал или пересылал |
| Журналы управления устройствами | Подключение USB, скриншоты, использование приложений |
Поэтому при сообщении о нарушениях недостаточно защищать только момент отправки наружу.
Нужно думать до обращения к материалам, до копирования, до отправки и после публикации.
Один внутренний журнал организации не всегда становится решающим доказательством. Но если объединить несколько журналов, они становятся сильными. Человек, открывший файл, человек, распечатавший его, человек, вошедший в комнату в это время, человек, получивший письмо, устройство, куда была вставлена USB-флешка. Когда все это указывает в одном направлении, круг кандидатов сужается.
При сообщении о нарушениях важен не только момент нажатия кнопки отправки. Посмотреть материалы, сделать заметки, сфотографировать, распечатать, скопировать, проконсультироваться, отреагировать после публикации. Действия до и после тоже рассматриваются как временная последовательность.
Сначала подумать о безопасности и консультациях
При сообщении о нарушениях есть не только анонимность, но и юридические риски и риски безопасности.
Могут иметь значение трудовой договор, обязательства конфиденциальности, механизмы сообщений в общественных интересах, сохранение доказательств, месть, клевета, защита персональных данных и т. п.
Статьи на этом сайте не являются юридической консультацией.
Для сообщения с высоким риском сначала рассматривают подходящие каналы консультации: надежного юриста, трудовую консультацию, редакцию, организацию, хорошо знакомую с сообщениями в общественных интересах.
| Что проверить | Причина |
|---|---|
| Свою безопасность и безопасность семьи | Подумать о мести и влиянии на жизнь |
| Юридический риск | Проверить обязательства конфиденциальности и режим сообщений в общественных интересах |
| Куда подавать | Защита и опасность меняются в зависимости от того, кому передают |
| Обращение с материалами | Избежать ненужного выноса и изменений |
| Необходимость публикации | Проверить, нет ли способов кроме прямой публикации |
Сообщение о нарушениях тем опаснее, чем больше человек действует на импульсе.
Время, потраченное на размышление заранее, становится мерой защиты.
При сообщении о нарушениях нельзя сказать: «я делаю правильное дело, значит все будет в порядке». Даже если информация имеет общественное значение, риск меняется в зависимости от обращения с материалами, персональных данных, обязательств конфиденциальности, сохранения доказательств и выбора адресата. Статьи на этом сайте — входная точка для оценки, а не юридическая консультация.
При высоком риске вместо немедленной публикации ищут надежный канал консультации. Выбирают подходящего для ситуации собеседника: юриста, канал, знакомый с сообщениями в общественных интересах, редакцию, понимающую защиту источников, организацию поддержки. Выбор канала консультации сам по себе является частью защиты анонимности.
Одни инструменты не защищают
Такие инструменты, как , SecureDrop, GlobaLeaks, OnionShare, , могут быть полезны.
Однако при сообщении о нарушениях одни инструменты не создают полноценную анонимность.
| Что легче защитить инструментами | Что остается при одних инструментах |
|---|---|
| Часть источника подключения | История доступа к материалам |
| Обход обычного аккаунта | Автор документа и сведения об организации |
| Путь передачи | Обратный вывод по содержанию |
| Защита содержания связи | Журналы действий на устройстве до отправки |
Инструменты — это часть общей картины.
При сообщении о нарушениях думают вместе о модели угроз, консультациях, выборе материалов, месте подачи и публикуемом содержании.
Такие механизмы, как SecureDrop и GlobaLeaks, важны как каналы приема информации. Но если зайти с рабочего устройства, отправить материал с метаданными или раскрыть сведения, которые могли быть известны только вам, круг кандидатов сузится по другому пути. То же относится к Tor и VPN. Даже если часть канала связи защищена, файлы, содержание, время и внутренние журналы организации остаются.
До использования инструмента решают, что именно он должен защищать. Нужно ли сделать источник подключения менее видимым? Нужно ли сделать канал передачи безопаснее? Нужно ли отделить его от среды с настоящим именем? Если цель неясна, можно использовать инструмент, но оставить важную часть без защиты.
Разделять публикуемую информацию и информацию для консультации
При сообщении о нарушениях не обязательно включать все в публичный текст. Разделяют информацию для публикации, информацию только для канала консультации и информацию, сохраняемую как доказательство.
| Обращение с информацией | Пример | Предостережение |
|---|---|---|
| Информация для публикации | Обзор проблемы, общественное влияние | Удалить детали, ведущие обратно к осведомителю |
| Информация для консультации | Подробные материалы, ход событий, доказательства | Определить объем с надежной стороной |
| Информация для сохранения | Исходные файлы, журналы, оригиналы | Следить за изменениями и утечками |
| Информация, которую не передают | Семья, коллеги, нерелевантные персональные данные | Избегать вовлечения посторонних |
Публикация — сильное действие. Однажды вышедшая информация остается в скриншотах, перепубликациях и архивах. При сообщении о нарушениях проектируют не только то, что выпустить, но и то, что не выпускать.
Итоги
Анонимность, нужная осведомителю, — это не только сокрытие имени.
Нужно думать и о том, кто мог видеть материалы, кто знал эту информацию и кто мог действовать в это время.
У организации могут быть журналы доступа к файлам, история облака, печать, вход и выход, электронная почта, управление устройствами.
При сообщении о нарушениях до использования инструментов анонимизации разбирают модель угроз, безопасность, юридический риск и место подачи.
Остановиться перед импульсивной отправкой — первая защита.
Связанные инструменты
ExifTool
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://exiftool.org/
MAT2
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
SecureDrop
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://securedrop.org/
GlobaLeaks
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://globaleaks.org/