Теми

Безпечна передача та зберігання даних

Комунікація й обмін даними

Щоб прийняти найкраще рішення про спосіб комунікації, важливо розуміти різні типи захисту комунікації, і чому такий захист є важливим. Одним із найважливіших елементів безпеки комунікації є збереження конфіденційності приватних повідомлень, що в сучасну епоху значною мірою забезпечується шифруванням. Без належного шифрування внутрішню парламентську комунікацію можуть бачити зловмисники. Внаслідок незахищеної комунікації може бути розкрита конфіденційна або делікатна інформація й повідомлення, паролі чи інші особисті дані та, можуть бути поставлені під загрозу ваші співробітники залежно від характеру повідомлень і вмісту, яким ви ділитеся.

Парламенту також важливо забезпечити, щоб комунікація депутатів і співробітників відповідала чинним відповідним нормам та зобов’язанням (таким як норми щодо запитів на доступ до публічної інформації) і зобов’язанням щодо безпеки даних. Тому, розробляючи та впроваджуючи захищені комунікаційні системи та політику в парламенті, обов’язково враховуйте ці фактори, щоб відповідні повідомлення могли бути як належним чином захищені, так і, якщо це необхідно згідно із законом, збережені.

Безпечні комунікації і парламент

Image of political protestors in Belarus

За останні роки було багато інцидентів, під час яких комунікаційні системи парламентів та облікові записи депутатів та їхніх співробітників були скомпрометовані, що призвело до збоїв у роботі парламенту та в деяких випадках до крадіжки конфіденційних даних. У липні 2021 року, наприклад, польська влада оголосила, що облікові записи електронної пошти майже десятка місцевих депутатів були зламані, включно з особистим обліковим записом головного помічника прем’єр-міністра та обліковими записами депутатів майже кожної парламентської опозиційної групи. Цей звіт надійшов лише через кілька місяців після того, як з’явилася подібна новина про кібератаку на інформаційні та комунікаційні системи фінського парламенту. Влада Фінляндії описала цей напад як «шпигунство при обтяжуючих обставинах і перехоплення повідомлень», спрямоване проти парламенту.

Що таке шифрування і чому воно важливо?

Шифрування — це математичний процес, який використовується для шифрування повідомлення або файлу, щоб лише особа чи організація, яка має ключ, могла «розшифрувати» його та прочитати. Без жодного шифрування наші повідомлення залишаються відкритими для читання потенційними ворогами, зокрема недружніми іноземними урядами, або хакерами в Інтернеті. Таке шифрування є важливим не лише для внутрішніх комунікацій парламенту, а й для зовнішніх комунікацій, у яких необхідно захищати конфіденційність і цілісність. У Посібнику із самозахисту від спостереження від Electronic Frontier Foundation надається практичне пояснення (з ілюстраціями) того, що означає шифрування:

Незашифровані повідомлення

Image of no encryption being used for a message in transit

Як видно на зображенні вище, смартфон надсилає зелене незашифроване текстове повідомлення («привіт») на інший смартфон праворуч. Вежа мобільного зв’язку (або, якщо дані надсилаються через інтернет, ваш постачальник послуг інтернету, або інтернет-провайдер) передає повідомлення на сервери компанії. Звідти воно переходить через мережу на іншу вежу мобільного зв’язку, що може бачити незашифроване повідомлення «привіт», і, нарешті, направляється до місця призначення. Важливо зазначити, що за відсутності шифрування всі, хто бере участь у передачі повідомлення, і будь-хто, хто може крадькома зазирнути у нього під час проходження, може прочитати його вміст. Це може не мати великого значення, якщо ви говорите лише «привіт»; проблема виникає, коли ви повідомляєте щось приватне чи конфіденційне і не хочете, щоб оператор телекомунікацій, інтернет-провайдер, недружній уряд чи будь-який інший супротивник побачили це повідомлення. Через це важливо уникати використання інструментів, що не мають функції шифрування, для надсилання конфіденційних повідомлень (а в ідеалі взагалі будь-яких повідомлень). Зауважте, що деякі з найпопулярніших методів зв’язку, як-от SMS і телефонні дзвінки, фактично функціонують без жодного шифрування (як на зображенні вище).

Є два способи зашифрувати дані під час передачі: шифрування транспортного рівня і наскрізне шифрування. Важливо знати тип шифрування, що підтримується постачальником послуг зв’язку, оскільки ваша організація має прийняти рішення про застосування більш безпечних методів і систем зв’язку. Такі відмінності добре описані Посібнику із самозахисту шляхом спостереження, дані з якого наведено далі в адаптованій формі.

Шифрування транспортного рівня, також відоме як захист транспортного рівня (TLS), захищає повідомлення під час їх переміщення з вашого пристрою на сервери програми/служби обміну повідомленнями, а звідти — на пристрій одержувача. Це захищає їх від очей хакерів, які сидять у вашій мережі або у мережі інтернет-провайдера чи постачальника телекомунікаційних послуг. Однак під час передачі постачальник послуг обміну повідомленнями/електронної пошти, веб-сайт, який ви переглядаєте, або програма, яку ви використовуєте, можуть бачити незашифровані копії ваших повідомлень. Оскільки ваші повідомлення можуть переглядатися (і часто зберігаються на) серверах компанії, їм загрожує ризик запитів правоохоронних органів або крадіжки, якщо сервери компанії зламано.

Шифрування транспортного рівня; 

Image of transport layer encryption being used for a message

На зображенні вище показано приклад шифрування транспортного рівня. Смартфон ліворуч надсилає зелене незашифроване повідомлення: «Привіт!». Це повідомлення шифрується, а потім передається на вежу мобільного зв’язку. Під час передачі сервери компанії можуть розшифрувати повідомлення, прочитати вміст, вирішити, куди його надіслати, повторно зашифрувати та відправити на наступну вежу мобільного зв’язку до місця призначення. Наприкінці інший смартфон отримує зашифроване повідомлення та розшифровує його, щоб користувач міг прочитати:«Привіт!».

Наскрізне шифрування захищає повідомлення під час передачі на всьому шляху від відправника до одержувача. Воно гарантує, що інформація перетворюється на секретне повідомлення її початковим відправником (на першому «кінці») і декодується лише кінцевим одержувачем (на другому «кінці»). Ніхто, включно з програмою чи службою зв’язку, якою ви користуєтеся, не може «прослуховувати» та дізнатися вміст ваших повідомлень.

Наскрізне шифрування

Image of end-to-end encryption being used for a message

На зображенні вище показано приклад наскрізного шифрування. Смартфон ліворуч надсилає зелене незашифроване повідомлення: «Привіт!». Це повідомлення шифрується, передається на вежу мобільного зв’язку, а потім на сервери програми/сервісу, які не можуть прочитати вміст, але передадуть секретне повідомлення до місця призначення. Наприкінці інший смартфон отримує зашифроване повідомлення та розшифровує його, щоб користувач міг прочитати: «Привіт!». На відміну від шифрування транспортного рівня, ваш інтернет-провайдер і служба обміну повідомленнями не можуть розшифрувати повідомлення. Лише кінцеві точки (оригінальні пристрої, що надсилають і отримують зашифровані повідомлення) мають ключі для розшифровки та читання повідомлення.

Який тип шифрування нам потрібен?

Коли ви вирішуєте, потрібне вашій організації шифрування транспортного рівня чи наскрізне шифрування для ваших комунікацій (чи якась комбінація обох для різних систем і видів діяльності), головне питання, яке ви повинні поставити, стосується довіри. Чи довіряєте ви додатку або службі, якими користуєтеся? Чи довіряєте ви їхній технічній інфраструктурі? Чи непокоїть вас можливість того, що недружній уряд може змусити компанію передати ваші повідомлення, — і, якщо так, чи довіряєте ви політиці компанії щодо захисту від запитів правоохоронних органів?

Якщо ви відповіли «ні» на будь-яке з цих запитань, то вам потрібне наскрізне шифрування. Якщо ви відповісте на них «так», тоді служби, яка підтримує лише шифрування транспортного рівня, може бути достатньо, але, як правило, краще використовувати служби, які підтримують наскрізне шифрування, за можливості.

Інший набір запитань, які слід розглянути, полягає в тому, чи зобов’язані ви як парламент за законом мати одноосібний доступ до будь-якої парламентської комунікації, чи існують якісь вимоги щодо локалізації даних у вашій країні та/або чи потрібно зберігати певні комунікації (наприклад, не видалені співробітниками остаточно) для дотримання законів і зобов’язань відкритого уряду. Якщо так, ви можете розглянути систему зв’язку корпоративного рівня з підтримкою наскрізного шифрування, у якій ви, як парламент, можете самостійно контролювати ключі шифрування. Такі системи (про які буде розказано більш детально в розділі «Безпечне зберігання даних» Посібника) можуть бути потужними, але вимагають передових технічних навичок для впровадження.

Під час обміну повідомленнями з групами пам’ятайте, що безпека ваших повідомлень знаходиться на тому ж рівні, що і безпека всіх, хто отримує повідомлення. Крім ретельного вибору безпечних програм і систем, важливо, щоб усі у групі дотримувався інших найкращих методів захисту облікових записів і пристроїв. Для витоку змісту цілого групового чату чи дзвінка достатньо лише однієї особи, яка не дотримується правил безпеки, або одного зараженого пристрою.

Що робити з електронною поштою?

Загалом, електронна пошта — не найкращий варіант, коли йдеться про безпеку. Навіть найкращі варіанти електронної пошти з наскрізним шифруванням зазвичай не э ідеальними з точки зору безпеки, наприклад, не шифрувати рядки теми електронних листів і не захищати метадані (важлива концепція, яку буде описано нижче). Якщо вам потрібно повідомити конфіденційну інформацію, яку не потрібно зберігати для загального доступу, майте на увазі, що електронної пошти (як системи парламенту, так і особливо чийсь особистий обліковий запис) краще уникати на користь безпечних варіантів обміну повідомленнями (які будуть виділені) у наступному розділі).

Однак, як парламент, ви все одно можете захотіти або потребувати, щоб депутати та співробітники повідомляли конфіденційний або приватний вміст через систему, якою керують централізовано в рамках їх повсякденної роботи. Загальнопарламентська система електронної пошти, звичайно, з належним контролем облікових записів, може бути тут корисною. Якщо, згідно з вашим аналізом вище, шифрування на транспортному рівні буде достатнім, тоді стандартні бізнес-пропозиції від постачальників електронної пошти, таких як Google Workspace (Gmail) і Microsoft 365 (Outlook), можуть бути хорошими варіантами для вашого парламенту. Однак якщо ви хвилюєтеся, що ваш постачальник послуг електронної пошти може бути зобов’язаний надавати інформацію про ваші повідомлення іноземному уряду чи іншому опоненту, або якщо місцеві вимоги щодо постійності даних можуть викликати занепокоєння, ви захочете розглянути можливість використання наскрізного зв’язку варіант зашифрованої електронної пошти. Кілька таких варіантів включають додавання власного керування ключами шифрування до Google Workspace або Microsoft 365 (як описано в розділі «Безпечне зберігання даних» цього посібника) або застосування наскрізних зашифрованих служб електронної пошти, розроблених для великих організацій, таких як ProtonMail Business or Tutanota Business.

Які інструменти обміну повідомленнями з наскрізним шифруванням ми повинні використовувати (станом на 2022 рік)?

Якщо вам потрібно використовувати наскрізне шифрування або ви просто хочете застосувати найкращі методи незалежно від контексту загроз вашої організації, ось кілька прикладів надійних служб, які, станом на 2022 рік, пропонують обмін повідомленнями та дзвінки з наскрізним шифруванням. Цей розділ Довідника регулярно оновлюватиметься в інтернеті, але зауважте, що технології безпечного обміну повідомленнями швидко змінюються, тому ці рекомендації можуть бути неактуальними на момент, коли ви читаєте цей розділ. Майте на увазі, що ваші комунікації безпечні лише в тій мірі, у якій безпечний сам пристрій. Тому, окрім впровадження безпечних методів обміну повідомленнями, важливо застосовувати найкращі методі, описані в розділі «Захищені пристрої» цього Довідника.

Текстові повідомлення (індивідуальні або групові)
  • Signal
  • WhatsApp (тільки зі спеціальними конфігураціями налаштувань, описаними нижче)
Аудіо та відеодзвінки:
  • Signal (до 40 осіб)
  • WhatsApp (до 32 осіб на аудіо, вісім на відео)
Файлообмінник:
  • Signal
  • Keybase / Keybase Teams
  • Tresorit

Що таке метадані і чи варто за них хвилюватися?

З ким розмовляєте ви, ваші співробітники, депутати парламенту та їх команда, а також коли й де ви з ними розмовляєте, часто може бути настільки ж делікатним, як і те, про що ви говорите. Важливо пам’ятати, що наскрізне шифрування захищає лише вміст («що») ваших повідомлень. І тут у гру вступають метадані. У Посібнику із самозахисту від спостереження від EFF надається огляд метаданих і пояснюється, чому вони важливі для організацій (включно з ілюстрацією того, як виглядають метадані):

Опис метаданих

Метадані часто описуються як усе, крім змісту ваших повідомлень. Метадані можна розглядати як цифровий еквівалент конверта. Подібно до того, як конверт містить інформацію про відправника, одержувача та адресата повідомлення, метадані також містять таку інформацію. Метадані — це інформація про цифрові повідомлення, які ви надсилаєте й отримуєте. Метадані включають таку інформацію:

  • з ким ви спілкуєтеся;
  • рядок теми ваших електронних листів;
  • тривалість ваших розмов;
  • час, коли відбулася розмова;
  • ваше місцезнаходження під час спілкування.

Хоча прозорість відповідних парламентських операцій є важливою, обмеження несанкціонованого доступу до метаданих (на додаток до захисту змісту повідомлень) також є важливим. Зрештою, метадані можуть розкрити конфіденційну інформацію хакерам, іноземним урядам, компаніям чи іншим особам, яким ми, можливо, не хочете надавати доступ. Кілька прикладів того, як метадані можуть бути відкритими, включають:

  • Вони знатимуть, що ви зателефонували журналісту і розмовляли з ним протягом години, перш ніж той журналіст опублікував розповідь із анонімною цитатою. Однак вони не знатимуть, про що ви говорили.
  • Вони знатимуть, що ви отримали електронний лист від лабораторії перевірки на COVID, потім зателефонували своєму лікарю, а потім відвідали веб-сайт Всесвітньої організації охорони здоров’я протягом тієї ж години. Однак вони не знатимуть, що було в електронному листі або про що ви говорили по телефону.

Метадані не захищені шифруванням, яке надає більшість служб обміну повідомленнями.. Наприклад, якщо ви надсилаєте повідомлення через WhatsApp, майте на увазі, що, незважаючи на те, що вміст вашого повідомлення зашифровано наскрізно, інші можуть знати, кому ви надсилаєте повідомлення, як часто й, у разі телефонних дзвінків, як довго. Як наслідок, ви повинні пам’ятати, які ризики існують (якщо такі є), якщо певні противники зможуть дізнатися, з ким ви розмовляєте, коли ви з ними розмовляли, і (у випадку електронної пошти) загальні теми вашого парламенту. комунікацій.

Однією з причин того, чому Signal настільки настійно рекомендується, це те, що крім забезпечення наскрізного шифрування, у ньому компанія запровадила функції та взяла на себе зобов’язання зменшити кількість метаданих, що записуються та зберігаються в ньому. Наприклад, функція Sealed Sender у Signal шифрує метадані про те, хто з ким розмовляє, так що Signal знає лише одержувача повідомлення, але не відправника. За замовчуванням ця функція працює лише під час спілкування з наявними контактами чи профілями (людьми), з якими ви вже спілкувалися або яких ви зберегли у своєму списку контактів. Однак ви можете ввімкнути для параметра «Sealed Sender» значення «Дозволити від будь-кого», якщо для вас важливо видалити такі метадані з усіх розмов у Signal, навіть із тих, що були з невідомими вам людьми. Це може не бути критичним для більшості парламентських комунікацій, але важливо усвідомлювати ризики, пов’язані з метаданими, і відповідно обирати відповідні інструменти та політику комунікації.

Чи можна справді довіряти WhatsApp?

WhatsApp є популярним додатком для безпечного обміну повідомленнями, і може бути хорошим варіантом, враховуючи його розповсюдженість. Деякі люди стурбовані тим, що він належить і контролюється Facebook, що працює над інтеграцією його з іншими своїми системами. Також непокоїть кількість метаданих (тобто інформації про те, з ким і коли ви спілкуєтеся), які збирає WhatsApp. Якщо ви вирішите використовувати WhatsApp як безпечний варіант обміну повідомленнями, обов’язково прочитайте наведений вище розділ про метадані. Є також кілька параметрів, щодо яких слід переконатися, що вони правильно налаштовані. Найважливіше: обов’язково вимкніть хмарне резервне копіювання або, принаймні, увімкніть нову функцію резервного копіювання з наскрізним шифруванням WhatsApp, із використанням 64-значного ключа шифрування або довгого, випадкового й унікального пароля, збереженого у безпечному місці (наприклад, у вашому менеджері паролів). Також обов’язково ввімкніть показ сповіщень безпеки та перевірте коди безпеки. Прості вказівки щодо налаштування цих параметрів для телефонів Android знаходяться тут, а для iPhone — тут. Якщо ваші співробітники (і ті, з ким ви всі спілкуєтеся), неправильно налаштують ці параметри, не слід вважати WhatsApp хорошим варіантом для конфіденційних комунікацій, які потребують наскрізного шифрування. Signal все ще залишається найкращим варіантом для таких потреб із наскрізним шифруванням повідомлень, враховуючи його налаштування безпеки за замовчуванням і захист метаданих.

А як щодо текстових повідомлень?

Звичайні текстові повідомлення зовсім незахищені (стандартні SMS фактично незашифровані), і їх слід уникати для всього, що не призначено для загального відома. Хоча повідомлення iPhone-to-iPhone від Apple (відомі як iMessages) мають наскрізне шифрування, якщо в розмові бере участь не iPhone, повідомлення не будуть захищені. Найкраще перестрахуватися й уникати текстових повідомлень щодо будь-чого секретного, приватного чи конфіденційного.

Чому Telegram, Facebook Messenger або Viber не рекомендуються для безпечних чатів?

Деякі служби, як-от Facebook Messenger і Telegram, пропонують наскрізне шифрування, лише якщо ви спеціально його ввімкнули (і лише для чатів один на один), тому вони не є хорошими варіантами для конфіденційних або приватних повідомлень, особливо для організації. Не покладайтеся на ці інструменти, якщо вам потрібно використовувати наскрізне шифрування, тому що досить легко забути змінити стандартні, менш безпечні налаштування. Viber стверджує, що пропонує наскрізне шифрування, але не надав свій код для перевірки сторонніми дослідниками безпеки. Код Telegram також не був наданий для публічного аудиту. В результаті багато експертів побоюються, що шифрування Viber (або «секретні чати» Telegram) може не відповідати стандартам і, отже, бути непридатним для спілкування, що вимагає справжнього наскрізного шифрування.

Наші колеги в парламенті та виборці використовують інші програми та системи обміну повідомленнями для спілкування — як ми можемо переконати їх завантажити нову програму для спілкування з нами?

Іноді існує компроміс між безпекою та зручністю, але варто докласти трохи додаткових зусиль для конфіденційності комунікацій. Подавайте гарний приклад своїм контактам — будь то в інших урядових установах, установах, у парламенті чи зовнішніх складових. Якщо вам доводиться використовувати інші, менш безпечні системи, будьте уважні до того, що ви говорите. Уникайте обговорення секретних тем. Деякі парламенти можуть мати інші протоколи для загального спілкування в чаті або спілкування з громадськістю порівняно з конфіденційними обговореннями з керівництвом, наприклад. Класифікуйте ваші парламентські комунікації (внутрішні та зовнішні) на основі конфіденційності та переконайтеся, що депутати та співробітники відповідно використовують відповідні механізми комунікації! Звичайно, найпростіше, якщо все постійно автоматично шифрується — нема про що пам'ятати чи думати.

На щастя, програми з наскрізним шифруванням, такі як Signal, стають дедалі популярнішими та зручнішими, не кажучи вже про те, що їх локалізовано десятками мов для глобального використання. Якщо вашим партнерам або іншим контактним особам потрібна допомога з переходом на комунікацію з наскрізним шифруванням, як-от Signal, знайдіть час, щоб пояснити їм, чому так важливо належним чином захищати ваші комунікації. Коли всі розуміють важливість, кілька хвилин, необхідних для завантаження нової програми, і кілька днів, які можуть знадобитися, щоб звикнути до неї, не будуть здаватися великою проблемою.

Чи існують інші налаштування додатків із наскрізним шифруванням, про які нам слід знати?

У додатку Signal перевірка з підтвердженням кодів безпеки (які вони називаються номерами безпеки) також важлива. Щоб переглянути номер безпеки та підтвердити його в Signal, ви можете відкрити свій чат із контактом, торкнутися імені у верхній частині екрана та прокрутити вниз, щоб натиснути «Переглянути номер безпеки». Якщо ваш номер безпеки збігається з вашим контактом, ви можете позначити його як «підтвердженого» на тому самому екрані. Особливо важливо звернути увагу на ці номери безпеки та перевірити свої контакти, якщо ви отримаєте сповіщення в чаті про те, що ваш номер безпеки з даним контактом змінився. Якщо вам або іншому персоналу потрібна допомога в конфугірації цих налаштувань, Signal сам надає корисні інструкції.

Якщо ви використовуєте Signal, що вважається найкращим зручним варіантом для безпечного обміну повідомленнями та дзвінків один на один, переконайтеся, що встановили сильний пін-код. Використовуйте принаймні шість цифр, які нелегко вгадати, наприклад, дату народження. 

Для отримання додаткових порад щодо правильного налаштування Signal і WhatsApp зверніться до довідників із використання інструментів для обох додатків, розроблених компанією EFF у Посібнику із самозахисту проти спостереження.

А як щодо групових відеодзвінків? Чи є варіанти наскрізного шифрування?

Зі збільшенням віддаленої роботи важливо мати безпечний варіант для великих групових відеодзвінків у вашому офісі або віртуальних ратуш для депутатів. На жаль, наразі немає універсальних варіантів, які покривають всі потреби: зручні сть користування, підтримка великої кількості учасників і доступність функції співпраці, а також наявність увімкненого наскрізного шифрування за замовчуванням.

Конкретні потреби пленарних засідань і засідань комітетів обговорюватимуться пізніше в цьому довіднику, але для інших більш загальних зборів, які не вимагають таких функцій співпраці, як кімнати для сеансів, у Signal є кілька варіантів. До групових відеодзвінків у Signal можуть приєднатися до 40 учасників зі смартфона або застосунку Signal на комп’ютері, що дозволяє ділитися екраном. Однак майте на увазі, що лише ваші контакти, які вже використовують Signal, можуть бути додані до групи у Signal.

Якщо ви шукаєте інші варіанти, існує платформа, що нещодавно додала налаштування наскрізного шифрування Jitsi Meet. Jitsi Meet — це вебрішення для аудіо- та відеоконференцій, що може використовуватися для великої аудиторії (до 100 осіб) і не потребує завантаження програми чи спеціального програмного забезпечення. Зауважте, що якщо ви використовуєте цю функцію у великих групах (більше 15–20 осіб), якість зв’язку може погіршитися. Щоб організувати зустріч на Jitsi Meet, ви можете перейти на meet.jit.si, ввести код зустрічі та поділитися цим посиланням (через безпечний канал, наприклад Signal) із запрошеними учасниками. Щоб використовувати наскрізне шифрування, перегляньте інструкції від Jitsi. Зауважте, що всі окремі користувачі повинні самі ввімкнути наскрізне шифрування, щоб воно працювало. Використовуючи Jitsi, обов’язково створюйте випадкові назви кімнат для нарад і надійні паролі, щоб захистити свої дзвінки.

Якщо ця опція не підходить для вашої організації, ви можете скористатися популярним комерційним варіантом, таким як Webex або Zoom, із увімкненим наскрізним шифруванням. Webex давно допускає наскрізне шифрування; однак цей параметр не ввімкнено за замовчуванням. Учасники повинні завантажити Webex, щоб приєднатися до вашої зустрічі. Щоб отримати опцію наскрізного шифрування для свого облікового запису Webex, ви повинні відкрити запит у служби підтримки Webex і слідувати цим інструкціям для налаштування наскрізного шифрування. Лише організатор зустрічі повинен увімкнути наскрізне шифрування. Після цього вся зустріч буде наскрізь зашифрована. Якщо ви використовуєте Webex для безпечних групових зустрічей і семінарів, обов’язково застосовуйте надійні паролі для дзвінків.

Після кількох місяців негативних відгуків компанія Zoom розробила опцію наскрізного шифрування для своїх дзвінків. Однак цей параметр не ввімкнено за замовчуванням, обліковий запис організатора виклику має бути пов’язаний із номером телефону, і шифрування можливе лише тоді, коли всі учасники приєднуються через програму Zoom для комп’ютера чи мобільного пристрою, а не набирають номер через телефон. Оскільки легко випадково неправильно налаштувати цю конфігурацію, не слід покладатися на наскрізне шифрування у Zoom. Однак, якщо потрібне наскрізне шифрування і Zoom є вашим єдиним вибором, ви можете дотримуватися інструкцій Zoom, щоб налаштувати його. Не забудьте перевірити виклик перед його початком, щоб переконатися, що він справді наскрізь зашифрований. Для цього клацніть зелений замок у верхньому лівому куті екрана Zoom і побачите «наскрізне шифрування» у списку поруч із налаштуванням шифрування. Ви також повинні встановити надійний пароль для будь-якої зустрічі Zoom.

Однак варто зазначити, що деякі популярні функції вищезазначених інструментів працюють лише з шифруванням транспортного рівня. Наприклад, увімкнення наскрізного шифрування в Zoom вимикає кімнати підгруп, можливості опитування та запис у хмарі. У Jitsi Meet кімнати підгруп можуть вимкнути функцію наскрізного шифрування, що призведе до небажаного зниження рівню безпеки.

Що, якщо нам насправді не потрібне наскрізне шифрування для всіх наших комунікацій?

Якщо наскрізне шифрування не потрібне для всіх комунікацій вашої організації на основі вашої оцінки ризику, ви можете розглянути можливість використання програм, захищених шифруванням транспортного рівня. Для використання цього виду шифрування потрібно, щоб ви довіряли постачальнику послуг, наприклад Google для Gmail, Microsoft для Outlook/Exchange або Facebook для Messenger, оскільки вони (і всі, з ким вони можуть бути змушені поділитися інформацією) можуть бачити/чути ваші комунікації. Знову ж таки, найкращі варіанти залежатимуть від вашої моделі загрози (наприклад, якщо ви не довіряєте Google або якщо уряд США є вашим супротивником, Gmail не підходить), але ось кілька популярних і загалом надійних варіантів:

 

Електронна пошта
  • Gmail (через Google Workspace)
  • Outlook (через Office 365)
    • Не розміщуйте свій власний сервер Microsoft Exchange для електронної пошти вашого парламенту. Якщо ви зараз це робите, слід перейти на Office 365.
Текстові повідомлення (індивідуальні або групові)
  • Google Hangouts
  • Slack
  • Microsoft Teams
  • Mattermost
  • Line
  • KaKao Talk
  • Telegram
Групові конференції, аудіо- та відеодзвінки
  • Jitsi Meet
  • Google Meet
  • Microsoft Teams
  • Webex
  • GotoMeeting
  • Zoom
Файлообмінник:
  • Google Drive
  • Microsoft Sharepoint
  • Dropbox
  • Slack
  • Microsoft Teams

Примітка щодо обміну файлами

Окрім безпечного обміну повідомленнями, безпечний обмін файлами, ймовірно, є важливою частиною плану безпеки вашої організації. Більшість параметрів обміну файлами вбудовані в програми або до служб обміну повідомленнями, якими ви, можливо, вже користуєтеся. Наприклад, обмін файлами через Signal є чудовим варіантом, якщо потрібне наскрізне шифрування. Якщо шифрування транспортного рівня (TLS) є достатнім, використання Google Диску або Microsoft SharePoint може бути хорошим варіантом для вашої організації. Не забудьте правильно налаштувати параметри спільного доступу, щоб лише авторизовані співробітники мали доступ до певного документа чи папки, і переконайтеся, що ці служби підключено до організаційних (не особистих) облікових записів електронної пошти співробітників. За можливості забороніть ділитися конфіденційними файлами через вкладення електронної пошти або фізично через USB-накопичувачі. Використання таких пристроїв, як USB, у вашому парламенті значно підвищує ймовірність зловмисного програмного забезпечення або крадіжки, а використання електронної пошти чи інших форм вкладень послаблює захист вашого парламенту від фішингових атак.

Безпечна передача даних

  • Класифікуйте повідомлення на основі їх чутливості.
    • Відповідно визначте відповідні системи та інструменти для спілкування.
    • Відповідно встановіть політику щодо того, як довго ви зберігатимете повідомлення, пам’ятаючи як про безпеку, так і про зобов’язання щодо прозорості парламенту.
  • Вимагайте використання надійних служб обміну повідомленнями з наскрізним шифруванням для конфіденційних комунікацій вашого парламенту.
    • Знайдіть час, щоб пояснити співробітникам та зовнішнім партнерам, чому безпечний зв’язок такий важливий; це сприятиме успішному втіленню вашого плану.
  • Переконайтеся, що встановлено належні налаштування для програм захищеного зв’язку, зокрема:
    • Переконайтеся, що всі співробітники звертають увагу на сповіщення безпеки та, якщо ви використовуєте WhatsApp, не створюють резервні копії чатів.
    • Якщо ви використовуєте програму, де наскрізне шифрування не ввімкнено за замовчуванням (як-от Zoom або Webex), переконайтеся, що відповідні користувачі ввімкнули належні налаштування на початку будь-якого дзвінка чи зустрічі.
  • Не намагайтеся розмістити власний сервер електронної пошти — використовуйте хмарні служби електронної пошти, такі як Office 365 або Google Workspace, як альтернативу.
    • Не дозволяйте співробітникам використовувати особисті облікові записи електронної пошти для робочих цілей.
  • Часто нагадуйте співробітникам і депутатам про найкращі інструменти безпеки, пов’язані з груповими повідомленнями та метаданими.
    • Слідкуйте за тим, хто входить до групи повідомлень, чатів і ланцюжків електронних листів.