内部举报中应避免的发布时间
在内部举报中,不只是发送什么,什么时候发送也很重要。
即使是同一份资料,也可能因为发送时间而缩小举报者候选范围。会议刚结束后、刚查看文档后、工作时间中、刚下班后、只有特定部门刚看过资料后。这样的时间点会与组织内部日志和行为记录关联。
在匿名性上,内容和时间不能分开考虑。
内容、设备、通信路径、访问历史、发布时间会被放在一起查看。
本文整理内部举报中应避免的发布时间,以及减少时间关联的思路。
刚查看文档后很危险
如果在打开内部文档后立刻向外部发送,文档访问日志和发送时间会关联起来。
有些组织会记录谁在什么时候打开、下载、打印了文档。如果紧接着信息流向外部,举报者候选范围就会被缩小。
| 行为 | 会被关联的信息 |
|---|---|
| 刚查看文档后的发送 | 访问日志和发送时间 |
| 刚打印后的发布 | 打印日志和公开时间 |
| 刚下载后的转发 | 下载历史和外部发送 |
| 会议资料刚分发后的发布 | 分发对象和发布时间 |
| 刚截图后的共享 | 设备操作和发送时间 |
这不是“稍微隔一段时间就安全”的简单问题。
重要的是思考如何避免组织内部记录与对外行为直接连在一起。
只错开时间还不够
认为只要错开发布时间就会安全,是危险的。
确实,避开会议刚结束后或刚查看文档后很重要。但是,即使错开时间,只要资料的分发范围、访问历史、正文内容、设备、通信路径仍然存在,举报者候选范围还是会被缩小。
| 时间以外的线索 | 残留风险 |
|---|---|
| 资料的分发范围 | 能持有资料的人有限 |
| 访问历史 | 有时可以知道谁打开过 |
| 文档内容 | 残留知道的人很少的信息 |
| 设备日志 | 残留文件操作或发送准备 |
| 通信路径 | 残留与职场或住处的关联 |
时间调整只是对策的一部分。
仅靠这一点并不会完成匿名性。
避免在工作时间中或从职场发送
工作时间中的发送更容易与组织侧日志关联。
如果使用职场网络、公司 PC、工作手机、公司 ,可能会残留通信目标或操作历史。从职场访问外部匿名投稿服务或新闻机构的受理渠道,这件事本身也可能显眼。
| 时间点 | 风险 |
|---|---|
| 工作时间中 | 与考勤表或设备日志关联 |
| 只有休息时间 | 暴露生活模式或行动范围 |
| 刚下班后 | 与出入记录或移动历史关联 |
| 从职场 Wi-Fi | 通信目标或时间可能留在管理侧 |
| 使用公司 VPN 时 | 即使是外部通信也会经由组织 |
在内部举报中,基本原则是不使用职场环境。
不过,即使改变了环境,如果发布时间与组织内部事件高度重合,也会被关联。
会议刚结束后、内部公告刚发布后举报者候选范围很窄
如果信息在特定会议、内部公告、内部通知刚结束后流出,参加者或阅览者会进入举报者候选范围。
知道资料的人越少,时间点就越是强线索。
| 组织内部事件 | 举报者候选范围被缩小的理由 |
|---|---|
| 小范围会议 | 出席者有限 |
| 部门内部发布 | 可阅览的部门有限 |
| 限定邮件分发 | 收件人列表会成为举报者候选范围 |
| 个别面谈 | 当事人很少 |
| 审计或调查刚结束后 | 相关人员会受到关注 |
即使内容做了匿名化,也可能从时间点看出举报者候选范围。
“在这个时间点知道这条信息的人”是非常强的线索。
生活节奏也会被查看
内部举报的发布时间不仅会与组织内部日志关联,也会与生活节奏关联。
总是在同一深夜行动、只在休息时间确认、只在周末发送、在特定通勤时间段访问。这样的模式会成为工作形态和日常活动范围的线索。
| 时间模式 | 会被推测的事 |
|---|---|
| 每次深夜 | 生活节奏或家庭环境 |
| 只在午休 | 工作时间或职场环境 |
| 只在周末 | 平日限制或职业类型 |
| 通勤时间段 | 移动路径或日常活动范围 |
| 特定星期 | 排班或业务周期 |
不只是一次,在多次往来中,时间模式会变强。
如果需要持续联系,应遵循接收方的安全流程。
发送后的行为时间也会被查看
在内部举报中,发送后的行为也会被关联。
发送后立刻删除文档、整理相关文件夹、在职场表现不自然、在社交媒体上暗示、告诉周围的人。这些行为如果与发送时间关联,就会成为风险。
| 发送后的行为 | 注意事项 |
|---|---|
| 立刻删除文档 | 会被推测在隐藏什么 |
| 重新查找相关资料 | 搜索历史或访问日志增加 |
| 多次确认受理渠道 | 残留通信时间或行为模式 |
| 在社交媒体上回应 | 匿名举报与本人行为关联 |
| 告诉周围的人 | 信息路径扩大 |
发送前,先决定发送后的确认方法和联系方式。
高风险时优先咨询
如果难以判断发布时间,最好不要一个人试图调整。
涉及法律保护、证据价值、报复风险、人身安全时,相比是否错开几个小时,更重要的是向哪个受理渠道、以什么格式、按什么顺序咨询。
可考虑律师、劳动咨询渠道、可信的新闻机构、支持团体等适合具体情况的咨询对象。
匿名性不是靠发布时间的小技巧,而是靠整体流程保护。
以安全形式整理时间线
发送前,如果不使用职场设备或云端,而是以自己可管理的形式整理行为时间线,会更容易发现遗漏。写在纸上时,也要考虑保管和废弃。
什么时候看过文档、什么时候复制、什么时候查找咨询对象、计划什么时候发送。如果只在脑中思考,容易漏看与组织内部日志重合的部分。
| 时间线项目 | 要确认的事 |
|---|---|
| 知道资料的时间 | 知情者范围是否过窄 |
| 打开资料的时间 | 是否会与访问日志关联 |
| 复制或拍摄的时间 | 是否会与设备操作或地点关联 |
| 查找咨询对象的时间 | 是否从职场环境搜索 |
| 计划发送时间 | 是否与会议、工作、移动、生活节奏重合 |
写出时间线的目的不是得出完美答案。
而是找出哪里存在关联很强的点。
如果发现强重合,在发送前务必重新确认流程。
总结
在内部举报中,发布时间会成为身份推测的线索。
刚查看文档后、刚打印后、会议刚结束后、工作时间中、刚下班后的发送,容易与组织内部日志或行为记录关联。
在匿名性上,要把内容、设备、通信路径、访问历史、发布时间作为一组来看。
在高风险内部举报中,不要独自判断什么时候发送,遵循可信渠道或专家的流程也很重要。
相关工具
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/