内部举报中最先应该考虑的威胁模型
在内部举报中,首先要建立威胁模型。
威胁模型,是整理“要从谁那里、保护什么、通过哪些路径保护”的思考方式。
在内部举报中,对方往往不是外部攻击者,而是自己所属的组织。组织可能掌握资料分发对象、浏览日志、设备管理、出入记录、邮件历史。
因此,需要比普通匿名发帖更谨慎地思考。
要从谁那里保护
首先,思考谁会试图识别举报者。
上司、法务、信息系统部门、审计部门、管理层、外部调查公司,有时还包括侦查机构。不同对象能看到的信息不同。
| 对象 | 可看到的信息 |
|---|---|
| 直属上司 | 工作内容、工作时间、谁有不满 |
| 信息系统部门 | 设备日志、访问历史、邮件、云端历史 |
| 法务和审计部门 | 分发资料、相关人员、调查记录 |
| 管理层 | 组织内权限、调查指示、惩戒判断 |
| 外部调查公司 | 访谈、日志分析、相关人员调查 |
在没有明确对象是谁的情况下行动,会误判对策强度。
在内部举报中,对方不是单纯的读者。 他们可能使用组织内权限、日志、访谈、审计、法务应对。 直属上司了解人际关系和不满。 信息系统部门有时能查看设备和云端历史。 法务或审计会调查资料分发对象和相关人员。
低估对方能力会导致对策不足。 相反,如果把一切都当作国家级对手来考虑,又会什么都做不了。 需要区分现实中的对象和能力。
要保护什么
保护对象不只是姓名。
资料访问、发送时间、咨询事实、文档作者信息、与部门的关系、公开后的反应,也都是保护对象。
| 保护对象 | 具体例 |
|---|---|
| 身份 | 姓名、部门、岗位类型、工作地点 |
| 访问事实 | 打开、打印、下载资料的记录 |
| 联系事实 | 何时向谁咨询 |
| 资料来源 | 文档作者、分发范围、版本号 |
| 行动时间线 | 何时查看、何时发送、何时公开 |
在内部举报中,比起“谁持有”,有时“谁能在那个时间行动”更重要。
如果只把真实姓名当作保护对象,就会漏掉重要风险。 访问资料的事实、咨询的事实、打印时间、打开文件的历史、公开后的反应,也都是保护对象。 组织一侧有时不是寻找姓名本身,而是寻找“接触过这些信息的人”。
在内部举报中,要分开保护身份、行动、资料、时间线、相关人员。 其中任何一项泄露,都会与其他信息结合,缩小候选范围。
会从哪里泄露
把泄露地点分开思考。
内部系统、设备、云端、文档、通信、接收方、公开后的文章。每个阶段都有线索。
| 泄露路径 | 例子 |
|---|---|
| 内部系统 | 文件访问、下载、打印日志 |
| 设备 | USB 连接、截图、应用启动历史 |
| 文档 | 作者、组织名、修改历史、评论 |
| 通信 | 邮件、DM、通话、IP、时间 |
| 接收方 | 接收方日志、保存方法、回复方法 |
| 公开后 | 文章内容、公开时间、资料种类 |
在内部举报中,提交之前的阶段有时会变得危险。
因为搜索、打开、复制、打印资料的时点就会留下记录。
泄露路径不只是发送路径。 搜索资料的历史、浏览文件服务器、从云端下载、使用打印机、用手机拍摄、同步到个人云端、保存咨询备忘录,全部都会成为线索。
此外,公开后也会泄露。 文章或举报内容的具体性、公开时机、追加信息、职场中的反应,都会成为寻找举报者的材料。 在威胁模型中,要分开考虑行动前、发送时、公开后。
区分风险大小
内部举报有不同幅度。
轻度的内部咨询、劳动问题、违法行为、会计舞弊、重大的公益举报、接近国家机密的信息,风险完全不同。
| 风险 | 状况 | 思考方式 |
|---|---|---|
| 低 | 一般职场咨询 | 确认咨询渠道和记录处理方式 |
| 中 | 劳动问题或骚扰 | 查看证据保全、咨询窗口、报复风险 |
| 高 | 会计舞弊、违法行为、组织性不正当行为 | 法律建议和接收方选择很重要 |
| 非常高 | 涉及国家、治安、重大机密 | 不要在没有专家的情况下行动 |
风险越高,比起先接触匿名工具,寻找可信的咨询渠道越重要。
风险大小不仅随处理内容变化,也会随举报者的处境变化。 是正式员工还是非正式员工,是学生,是否为外籍,是否会影响家人,是否在职场中孤立,过去是否发生过报复。 同样的信息,因处境不同,受到的伤害也不同。
高风险时,重要的是不要单独行动。 要寻找符合状况的咨询渠道,例如律师、支持团体、具有信源保护经验的新闻机构。
建立威胁模型的问题
行动前,回答下面的问题。
| 问题 | 目的 |
|---|---|
| 知道这项信息的人有多少 | 确认候选范围是否过小 |
| 这份资料的访问记录是否会留下 | 查看内部日志风险 |
| 接收方是否可信 | 思考接收方的处理方式 |
| 公开后谁会被怀疑 | 设想公开后的报复 |
| 是否有法律和安全方面的咨询渠道 | 减少独断行动的危险 |
如果有很多项目无法回答,还不是发送的阶段。
应该先确认。
把威胁模型写在纸上会更容易整理。 但是,那份备忘录本身也需要注意。 如果把细节留在职场设备、实名云端、共享文件夹中,就会成为新的痕迹。 要在安全的环境中,以最小必要范围整理。
从威胁模型决定对策
威胁模型不是只用于思考。 要从中决定对策。
| 弄清楚的事 | 下一步对策 |
|---|---|
| 资料访问者很少 | 调整内容或公开时机 |
| 职场设备日志很强 | 不增加设备操作,寻找咨询渠道 |
| 接收方不明 | 发送前确认运营主体和日志政策 |
| 法律风险很大 | 咨询律师或专业窗口 |
| 会影响家人或同事 | 重新审视发布范围和内容 |
威胁模型不只是为了停止行动。 它是决定先确认什么、删减哪里、向谁咨询的工具。
总结
在内部举报中,首先要建立威胁模型。
整理要从谁那里保护、保护什么、会从哪里泄露、风险有多大。
组织可能掌握资料访问、设备操作、云端、邮件、出入、打印等日志。
在使用匿名工具前,要确认信息来源、接收方、公开后的反推、法律和安全方面的咨询渠道。
威胁模型是内部举报中最先建立的风险整理地图。
相关工具
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/