Модель угроз, о которой нужно сначала подумать при сообщении о нарушениях
При сообщении о нарушениях сначала составляют модель угроз.
Модель угроз — это способ разобрать, "от кого, что и по каким путям" нужно защищать.
При сообщении о нарушениях сторона, которая может установить личность, часто не внешний атакующий, а собственная организация. У организации могут быть списки рассылки материалов, журналы просмотра, управление устройствами, записи входа и выхода, история электронной почты.
Поэтому нужно думать осторожнее, чем при обычной анонимной публикации.
От кого защищать
Сначала подумайте, кто может пытаться установить личность человека, сообщившего о нарушениях.
Начальник, юридический отдел, отдел информационных систем, аудит, руководство, внешняя расследовательская компания, а в некоторых случаях следственные органы. Разные стороны видят разные сведения.
| Сторона | Видимые сведения |
|---|---|
| Непосредственный начальник | Содержание работы, рабочее время, кто был недоволен |
| Отдел информационных систем | Журналы устройства, история доступа, почта, облачная история |
| Юридический отдел и аудит | Распространенные материалы, причастные лица, записи расследования |
| Руководство | Полномочия внутри организации, поручения по расследованию, дисциплинарные решения |
| Внешняя расследовательская компания | Опросы, анализ журналов, проверка причастных лиц |
Если действовать, не уточнив, кто является другой стороной, легко ошибиться в силе мер.
При сообщении о нарушениях сторона, которая может установить личность, — не просто читатель. Она может использовать внутренние полномочия организации, журналы, опросы, аудит и юридические действия. Непосредственный начальник знает отношения и недовольство. Отдел информационных систем иногда может видеть историю устройств и облака. Юридический отдел и аудит проверяют рассылку материалов и причастных лиц.
Если недооценить возможности другой стороны, мер будет недостаточно. Если, наоборот, считать всех противником государственного уровня, станет невозможно делать что-либо. Нужно разделять реалистичные стороны и их возможности.
Что защищать
Защищать нужно не только имя.
Доступ к материалам, время отправки, факт консультации, сведения об авторе документа, связь с отделом и реакция после публикации тоже являются объектами защиты.
| Объект защиты | Конкретный пример |
|---|---|
| Личность | Имя, отдел, должность, место работы |
| Факт доступа | Запись о том, что материал открывали, печатали или скачивали |
| Факт контакта | С кем и когда консультировались |
| Происхождение материалов | Автор документа, область распространения, номер версии |
| Хронология действий | Когда увидели, когда отправили и когда опубликовано |
При сообщении о нарушениях иногда важнее не "у кого это было", а "кто мог действовать в этот момент".
Если защищать только настоящее имя, важные риски останутся незамеченными. Факт доступа к материалам, факт консультации, время печати, история открытия файла и реакция после публикации тоже являются объектами защиты. Организация может искать не само имя, а "людей, которые касались этой информации".
При сообщении о нарушениях отдельно защищают личность, действия, материалы, хронологию и причастных лиц. Если просачивается что-то одно, оно связывается с другими сведениями и сужает круг возможных людей.
Откуда происходит утечка
Разделите места, откуда может произойти утечка.
Внутренние системы, устройство, облако, документ, связь, получатель сообщения, статья после публикации. На каждом этапе есть признаки.
| Путь утечки | Пример |
|---|---|
| Внутренняя система | Доступ к файлу, скачивание, журналы печати |
| Устройство | USB-подключение, скриншот, история запуска приложений |
| Документ | Автор, название организации, история изменений, комментарии |
| Связь | Электронная почта, личное сообщение, звонок, IP, время |
| Получатель | Журналы принимающей стороны, способ хранения, способ ответа |
| После публикации | Содержание статьи, время публикации, тип материалов |
При сообщении о нарушениях опасной может стать стадия до передачи.
Потому что уже при поиске, открытии, копировании и печати материалов остаются записи.
Путь утечки — это не только путь отправки. История поиска материалов, просмотр файлового сервера, скачивание из облака, использование принтера, съемка на смартфон, синхронизация с личным облаком, сохранение заметок консультации — все это становится признаками.
Утечка происходит и после публикации. Конкретность статьи или сообщения, время публикации, дополнительные сведения, реакция на работе становятся материалом для поиска человека, сообщившего о нарушениях. В модели угроз разделяют этап до действия, момент отправки и период после публикации.
Разделить величину риска
Сообщения о нарушениях бывают очень разными.
Легкая внутренняя консультация, трудовая проблема, нарушение закона, финансовые махинации, серьезное сообщение в общественных интересах, сведения, близкие к государственной тайне, имеют совершенно разные риски.
| Риск | Ситуация | Как думать |
|---|---|---|
| Низкий | Обычная консультация на работе | Проверить адресата консультации и обращение с записями |
| Средний | Трудовая проблема или домогательства | Смотреть сохранение доказательств, консультационные каналы, риск мести |
| Высокий | Финансовые махинации, нарушение закона, организованные нарушения | Важны юридическая консультация и выбор получателя |
| Очень высокий | Связано с государством, безопасностью, серьезными тайнами | Не действовать без специалистов |
Чем выше риск, тем важнее сначала искать надежного консультирующего адресата, а не трогать анонимный инструмент.
Величина риска меняется не только от содержания, но и от положения человека, сообщающего о нарушениях. Штатный сотрудник или временный работник, студент, иностранный гражданин, возможное влияние на семью, изоляция на работе, прошлые случаи мести. Одна и та же информация может причинить разный ущерб в зависимости от положения.
При высоком риске важно не действовать в одиночку. Ищите подходящих по ситуации консультантов: юристов, организации поддержки, редакции с опытом защиты источников.
Вопросы для составления модели угроз
Перед действием ответьте на следующие вопросы.
| Вопрос | Цель |
|---|---|
| Сколько людей знает эту информацию | Проверить, не слишком ли узок круг возможных людей |
| Остается ли запись доступа к этим материалам | Посмотреть риск внутренних журналов |
| Можно ли доверять получателю | Подумать об обращении с данными на принимающей стороне |
| Кого будут подозревать после публикации | Предположить месть после публикации |
| Есть ли юридическая консультация и консультация по безопасности | Снизить опасность самостоятельных действий |
Если на многие пункты нельзя ответить, отправлять еще рано.
Сначала их нужно проверить.
Модель угроз легче разобрать, если выписать ее на бумагу. Но с самой этой заметкой тоже нужна осторожность. Если оставить подробности на рабочем устройстве, в облаке с настоящим именем или в общей папке, появится новый след. Разбирайте ее в безопасной среде и только в минимально необходимом объеме.
Выбрать меры из модели угроз
Модель угроз не заканчивается размышлением. Из нее выбирают меры.
| Что стало понятно | Следующая мера |
|---|---|
| К материалам имели доступ мало людей | Скорректировать содержание или время публикации |
| Журналы рабочего устройства сильны | Не увеличивать действия на устройстве и искать консультационный канал |
| Получатель неясен | До отправки проверить оператора и политику журналов |
| Юридический риск велик | Консультироваться с юристом или профильным каналом |
| Есть влияние на семью или коллег | Пересмотреть область публикации и содержание |
Модель угроз нужна не только для остановки действия. Это инструмент, чтобы решить, что проверить сначала, что сократить и с кем консультироваться.
Итоги
При сообщении о нарушениях сначала составляют модель угроз.
Разбирают, от кого защищать, что защищать, откуда происходит утечка и каков уровень риска.
У организации могут быть журналы доступа к материалам, действий на устройствах, облака, почты, входов и выходов, печати.
Перед использованием анонимных инструментов проверьте источник информации, получателя, возможные выводы после публикации, а также каналы юридической консультации и консультации по безопасности.
Модель угроз — первая карта для разбора риска при сообщении о нарушениях.
Связанные инструменты
SecureDrop
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://securedrop.org/
GlobaLeaks
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://globaleaks.org/