Руководство по проблемам безопасности средств связи и по их предупреждению

Знание – это сила, и зная свои потенциальные проблемы, связанные с безопасностью средств связи, вы можете чувствовать себя более защищёнными при выполнении работы. Ниже приводятся несколько способов получения незаконного доступа к вашей информации и средствам связи и противодействия им, а также некоторые меры по их предупреждению.

Разговоры

Для того, чтобы получить незаконный доступ к информации, необязательно, чтобы она проходила через Интернет. При обсуждении важной информации, задумайтесь над следующим:

1. Доверяете ли вы людям, с которыми ведете разговор? 2. Нужна ли им та информация, которую вы им предоставляете? 3. Находитесь ли вы в безопасном окружении? «Жучки» и другие подслушивающие устройства часто специально устанавливаются в местах, которые люди считают безопасными, таких как частные офисы, оживленные улицы, спальни и автомобили.

Возможно, будет трудно найти ответ на третий вопрос, поскольку микрофоны или «жучки» могут быть установлены в комнате с целью передачи или записи всего, что там говорится. Кроме того, для прослушивания разговоров с большого расстояния могут устанавливаться лазерные микрофоны, направленные на окна. Тяжелые портьеры, а также окна с двойными рамами обеспечивают некоторую защиту от лазерных «жучков». Некоторые безопасные здания имеют двойные окна, чтобы исключить риск прослушивания с помощью лазерных устройств.

Что можно сделать?

• Всегда исходите из того, что кто-то прослушивает ваш разговор. С таким подходом “здоровой паранойи” вы будете более осторожным при обсуждении конфиденциальных вопросов.

• Специальные приборы для обнаружения «жучков» могут помочь, но они могут быть дорогими и их может быть трудно достать. Кроме того, иногда люди, нанимаемые для обнаружения и устранения «жучков», имеют самое непосредственное отношение к их установке. При проведении проверки на их наличие, они находят несколько «одноразовых» “жучков” (дешевые “жучки”, устанавливаемые специально, чтобы их обнаружили) или, как ни удивительно, ничего не находят и говорят, что ваш офис «чист».

• Любой персонал по уборке помещений может представлять серьезную угрозу безопасности. У этого персонала есть возможность для внеурочного доступа к вашему офису и для того, чтобы каждую ночь выносить все, что вы выбрасываете в корзины. Весь персонал должен проходить регулярную проверку на безопасность, так как уже после поступления на работу в вашу организацию члены обслуживающего персонала могут быть скомпрометированы.

• Как можно чаще меняйте помещения, где проводятся совещания. Чем больше помещений или комнат используется для проведения совещаний или обсуждений, тем больше потребуется людей и оборудования для ведения прослушивания.

• Помните о подарках, которые предназначены для того, чтобы они всегда были при вас, таких как дорогие ручки, булавки или броши, или другие вещи, либо о подарках, предназначенных для офиса, таких как красивые пресс-папье или большие картины. В прошлом эти предметы широко использовались для прослушивания разговоров.

• Исходите из того, что определенная часть вашей информации подвергается прослушиванию в любое время. Возможно, вы захотите чаще менять свои планы и коды, чтобы прослушивающие могли получить только обрывки подлинной информации. Рассмотрите возможность передачи фальшивой информации, чтобы проверить воспользуется ли ею кто-то и отреагирует ли на неё.

• Дли максимального снижения эффективности лазерных микрофонов, обсуждайте конфиденциальные вопросы в подвале или в помещении без окон. Некоторые лазерные подслушивающие устройства могут быть менее эффективны в грозу и при других атмосферных изменениях.

• Включите аудиозапись «белого шума» или популярную песню для создания помех. Только дорогостоящие технологии способны отделять посторонние шумы от разговора.

• Широкие открытые пространства могут быть как союзниками, так и врагами. Проведение встречи в укромном месте дает возможность обнаружить слежку и наблюдение за вами, но затрудняет возможность затеряться в толпе. Легче всего затеряться в толпе, но в этом случае также намного легче вас увидеть и подслушать.

Мобильные телефоны

Все телефоны могут прослушиваться, если прослушивающие лица имеют достаточные технические возможности. Нельзя исходить из того, что телефонный разговор не прослушивается. В этом плане, аналоговые мобильные телефоны менее безопасны, чем цифровые, и оба типа менее безопасны по сравнению с наземными линиями связи.

С помощью сотового наблюдения, можно определить как ваше местонахождение, так и содержание вашего разговора. Для определения вашего местонахождения вам не обязательно говорить по телефону – это можно сделать в любое время, если ваш телефон включен.

Не храните такую конфиденциальную информацию как имена, номера телефонов и т.д. в памяти вашего телефона. В случае кражи вашего телефона, эта информация может быть использована для установления местонахождения людей, которым вы хотите помочь, и нанесения им ущерба.

Физическая безопасность информации в офис

Всегда держите офис закрытым, включая двери и окна. Пользуйтесь ключами, которые требуют специального разрешения на изготовление их дубликатов и ведите учет всех дубликатов ключей. НЕ ДАВАЙТЕ ключи третьим лицам, даже обслуживающему персоналу и ремонтникам. Обязательно присутствуйте лично или обеспечьте присутствие кого-либо из коллег, которым вы доверяете, когда в помещении находятся третьи лица. Если это невозможно, убедитесь, что у вас есть комната с ограниченным доступом для хранения конфиденциальных документов. Проверяйте, надёжно ли закрыты все двери офиса, и убедитесь, что в оставленных после рабочего дня бумажных отходах нет конфиденциальных документов.

Используйте канцелярскую бумагорезательную машину с поперечной порезкой для уничтожения листов бумаги, содержащих конфиденциальную информацию. Канцелярская бумагорезательная машина с продольной порезкой в большинстве случаев бесполезна. Для уничтожения особо секретной информации обеспечьте сожжение порезанных листов бумаги, измельчение золы и смыв её в унитаз.

Основные правила безопасности при работе с компьютером и файловыми документами 2

Уходя из офиса, по возможности, всегда запирайте компьютер. Поверните экран компьютера в сторону от окна.

На все розетки установите стабилизаторы напряжения (колебания напряжения способны повредить ваш компьютер).

Храните резервные носители информации, включая информацию на бумаге, в отдельном надежном месте. Убедитесь, что ваши резервные носители информации находятся в безопасности на компьютере, и доступ к его жесткому диску зашифрован и поддерживается надежной организацией резервного копирования, либо что компьютеры защищены сложными физическими замками.

Для снижения риска несанкционированного доступа к вашему компьютеру установите на него пароль и всегда выключайте его, когда уходите.

Зашифруйте свои файлы, на случай если кто-нибудь получит доступ к вашему компьютеру и обойдет установленный пароль.

Если ваш компьютер украли или сломали, вы сможете восстановить свои файлы, если ежедневно создаете надежные резервные копии. Храните свои зашифрованные копии за пределами офиса и в надежном месте.Стертые файлы невозможно восстановить, если вы стерли их с помощью программы PGP Wipe или другой подобной программы, а не сбросили их просто в «Корзину» вашего компьютера.

Ваш компьютер может быть запрограммирован на отправку ваших файлов или на получение с него информации иным способом - без вашего ведома. Чтобы избежать этого, следует приобретать компьютер только в надежном месте; после приобретения сразу переформатируйте его жесткий диск и только после этого устанавливайте необходимое вам программное обеспечение. К обслуживанию компьютера допускайте только проверенных специалистов, и, тем не менее, все время присматривайте за ними.

Предусмотрите возможность отключения телефона/модема от вашего компьютера или иного способа отключения от Интернета, когда вы вынуждены оставлять компьюте без присмотра. Это позволит нейтрализовать жульнические программы, настроенные на работу в ночное время. Никогда не оставляйте компьютер включенным, когда вы покидаете офис на весь день. Изучите возможность установки специального программного обеспечения, способного исключить доступ к компьютеру через определенное время. Это позволит защитить ваш компьютер в то время, когда вы пьете кофе или снимаете фотокопию документа.

В ваших веб-предпочтениях активируйте функцию показа расширения файлов, чтобы определить тип файла до его открытия. Вам не нужна вирусная программа, запускаемая открытием исполняемого файла, который вы считали простым текстовым файлом. В Internet Explorer войдите в меню Tools (Сервис) и выберите позицию Folder Options (Меню Папка). Кликните View (Вид) и убедитесь, что в окне Hide extensions for known file types (Скрыть расширения для известных типов файлов) установлено NOT (НЕТ).

2 Более подробную информацию по безопасности компьютера можно найти в Фонде «Фронт Лайн», обратившись по адресу: info@frontlinedefenders.org или в организации «Приватерра»,обратившись по адресу: info@privaterra.org

Проблемы безопасности, связанные с использованием Интернета

Ваша почта не отправляется непосредственно с вашего компьютера на компьютер вашего адресата. Она проходит через несколько взаимосвязанных узлов связи, оставляя при прохождении информацию о себе. Доступ к этой информации можно получить на всем пути её прохождения (а не только на её выходе / входе из страны/в страну)!

Кто-то может заглядывать через ваше плечо, когда вы набираете текст. Это особенно актуально в Интернет-кафе. Если у вас имеется связь с Интернет, ваша почта может быть доступной любому человеку в вашем офисе.

Ваш системный администратор может иметь особые преимущества доступа ко всей почте. Ваш провайдер услуг Интернета (ISP) имеет доступ к вашей почте, и любой, кто имеет на него влияние, может оказать на него давление, чтобы вынудить провайдера направлять ему копии всей вашей электронной корреспонденции или заблокировать прохождение части ваших отправлений.

При прохождении через Интернет ваша почта проходит через сотни небезопасных сторонних субъектов. Хакеры могут получить доступ к вашим коммуникациям по мере их прохождения. Провайдер Интернет-связи вашего получателя, сеть и офис получателя вашей почты также могут иметь свои уязвимые места.

Основные правила безопасности в Интернет

Вирусы и другие жульнические программы, такие как «троянские кони», или «троянцы», могут появиться отовсюду; даже ваши друзья могут неосознанно переслать вам вирусы со своих компьютеров. Пользуйтесь надежными антивирусными программами и постоянно обновляйте их в автоматическом режиме. Новые вирусы создаются и обнаруживаются постоянно, поэтому регулярно посещайте Библиотеку информации о вирусах (Virus Information Library) на веб-сайте www.vil.nai.com и загружайте свежие программы для защиты от новых вирусов.

Обычно вирусы передаются через электронную почту, поэтому придерживайтесь правил безопасной связи (см. ниже). Вирусы – это разовые программы, предназначенные для самостоятельного тиражирования, они могут быть вредными и безвредными. «Троянцы» – это программы, предназначенные для того, чтобы третья сторона (или кто-либо ещё) имела доступ к вашему компьютеру.

Хорошие брандмауэры (аппаратно-программные средства межсетевой защиты) могут помочь вам стать невидимыми для хакеров и предупредить вторжение посторонних лиц в вашу систему. Это гарантирует, что только специально допущенный персонал может выйти в Интернет с вашего компьютера и не позволит таким программам, как «троянцы», отправлять информацию или открывать «черный ход» в ваш компьютер, через который могут войти хакеры.

Система “регистрации клавиатуры” следит за любыми вашими действиями на клавиатуре. Эти программы вводятся кем-то, когда вас нет, или с помощью вируса или «троянца», которые попадают в вашу систему через Интернет. Система “Регистрации клавиатуры” следит за любыми вашими действиями на клавиатуре и сообщает о вашей работе, обычно, через Интернет. С этими программами можно бороться с помощью установки паролей защиты, соблюдения практики безопасной отправки сообщений, применения антивирусных программ и использования программ с управлением от мыши для ввода пароля. Нейтрализовать системы “регистрации клавиатуры” можно также с помощью вашего физического отключения от Интернета, обычно, простым отключением телефонной связи от вашего компьютера, когда вы на нём не работаете.

Почтовый адрес может быть “ложным” (поддельным), т.е. помимо истинного владельца им может воспользоваться кто-то ещё. Это может быть сделано путем взлома сетей провайдера и получения доступа к чужому компьютеру и паролю, или путем использования адреса, который может быть похож на адрес какого-либо конкретного человека. Например, путем замены нижнего регистра буквы “l” на цифру “1” вы можете создать похожий адрес, и большинство людей не заметят разницы. Чтобы избежать розыгрыша, используйте набор слов, составляющих смысл, и периодически задавайте вопросы, на которые может ответить только настоящий владелец адреса. Просите подтверждения любых подозрительных запросов информации путем проверки через другие формы связи.

Не позволяйте никому заглядывать на свою страничку быстрого просмотра ваших обращений к WWW-серверу и стирайте вашу кэш-память после каждого подключения к Интернету. В Internet Explorer выберите меню Tools (Сервис), затем Options (Настройки). В Netscape Navigator перейдите к Edit (Правка), затем к Preferences (Параметры). Когда вы находитесь в любом из этих меню, сотрите всю вашу ретроспективу работы, все выходы в Интернет и очистите вашу кэш-память. Помните, что необходимо также стереть все ваши закладки. На вашей страничке быстрого просмотра хранятся также записи о сайте, который вы посещаете в кэш-файлах, поэтому определите, какие файлы должны быть уничтожены в вашей системе.

Обновите все веб-системы быстрого просмотра для поддержки 128-битовой кодировки. Это поможет обезопасить любую информацию, которую вы хотите передать по веб-сети, включая пароль и другую конфиденциальную информацию, представленную в виде специальных форм. Установите самые последние пачи безопасности (программы, исправляющие ошибки, найденные изготовителем в своей программной продукции – Прим. пер.) для всего используемого программного обеспечения, особенно для таких пакетов, как Microsoft Office, Microsoft Internet Explorer и Netscape.

Не пользуйтесь компьютером с хранящейся в нем конфиденциальной информацией для быстрого просмотра несущественных веб-сайтов.

Основные правила безопасной работы с электронной почтой

Ниже приведены основные правила безопасной работы с почтой, которые должны соблюдаться вами, вашими друзьями и коллегами. Сообщите им, что вы не станете читать их сообщения, если они не станут придерживаться безопасной практики пользования электронной почтой.

1 * НИКОГДА не вскрывайте почту от людей, которых вы не знаете.

2 * НИКОГДА не пересылайте почту от людей, которых вы не знаете, или если её автором является кто-то, кого вы не знаете. Все эти письма, рассылаемые с пометками “думайте о хорошем”, могут содержать вирусы. Направляя их вашим друзьям и коллегам, вы можете занести вирусы в их компьютеры. Если вам нравится их сентиментальность, наберите заново сообщение и направьте его сами. Если набор сообщения не заслуживает вашего времени, то, вероятно, это не столь важное сообщение.

3 * НИКОГДА не загружайте и не открывайте приложений, если не знаете их содержания и не уверены в том, что оно безопасно. Отключите опцию автоматической загрузки в вашей компьютерной программе. Многие вирусы и «троянцы» распространяются сами по себе в виде “червей”, и современные «черви» часто рассылаются теми, кого вы знаете. Умные «черви» сканируют вашу адресную книгу, особенно если вы пользуетесь программами Microsoft Outlook или Outlook Express и маскируются под обычные приложения, полученные от обычных отправителей. PGP-подписывание почты с приложениями и без них способно снять проблемы, связанные с освобождением от вирусов приложений, отправляемых вами своим коллегам (PGP – программа кодирования информации, см. ниже в разделе “Кодирование”).

4 * НЕ пользуйтесь форматами HTML, MIME или RTF при отправке вашей почты - пользуйтесь только простым текстом. Расширенные письма могут содержать встроенные программы, которые могут обеспечить доступ к вашей информации или повредить ваши компьютерные файлы.

5 * При пользовании программами Outlook или Outlook Express, отключите опции предварительного просмотра на экране.

6 * Шифруйте вашу почту всякий раз, когда это возможно. Незашифрованная почта подобна открытке, которую может прочитать каждый, кто её увидит или получит к ней доступ. Зашифрованная почта – это письмо, надежно спрятанное в конверте.

7 * Используйте в заглавии темы что-нибудь значимое, чтобы читатель знал, о чем будет говориться в сообщении. Скажите вашим друзьям и коллегам, чтобы в заглавии темы они всегда писали о чем-нибудь личном, чтобы вы знали, что сообщение действительно пришло от них. В противном случае, кто-то может прислать сообщение от их имени либо «троянец», возможно, разослал инфицированную программу по всем адресам их адресной книги, включая вас. Тем не менее, не пользуйтесь заглавиями, которые выдают конфиденциальную информацию, зашифрованную в почтовом сообщении. Помните, что указываемая вами тема сообщения не шифруется и может привести к разглашению характера зашифрованного письма, что, в свою очередь, может привести к проведению акта агрессии. Многие хакерские программы в настоящее время автоматически сканируют и копируют почтовые сообщения с “интересными” темами, такими как “отчет”, “конфиденциально”, “личное” и с другими признаками, указывающими на то, что сообщение представляет для кого-то определенный интерес.

8 * НИКОГДА не направляйте почту большой группе адресатов, указанных в строках “To” или “CC”. Лучше направьте сообщение самому себе и включите всех остальных в строки “bcc”. Это признак хороших манер, а также хороший способ сохранения конфиденциальности. В противном случае, вы направляете МОЙ почтовый адрес людям, которых Я не знаю; это порочная и оскорбительная практика, которая потенциально чревата опасностями и представляет угрозу.

9 * НИКОГДА не отвечайте на спам (веерная рассылка рекламной информации), даже с просьбой удалить вас из списка рассылки. Серверы спама рассылают сообщения по огромному количеству адресов, и они никогда не знают, какой из них является «активным» (имеется ввиду некто, кто активно использует ваш электронный адрес). Получая ваше сообщение, сервер воспринимает вас как «активного» пользователя и, в результате, вы можете получить ещё больше спама, чем раньше.

10 * Если это возможно, заведите себе отдельный компьютер, не подключенный к остальным компьютерам, который принимает обычные почтовые сообщения и не содержит файлов с данными.

Кодирование: Вопросы и ответы

Ниже приводится список наиболее часто задаваемых вопросов с ответами на них. По всем вопросам просим также обращаться в НПО “Приватерра”через веб-сайт www. privaterra.org

В: Что такое кодирование?

О: Кодирование означает преобразование данных в секретный код, который никто не может расшифровать, кроме лица, для которого эта информация предназначается. При наличии достаточного количества времени и вычислительных способностей можно прочесть все закодированные сообщения, но это может потребовать много времени и ресурсов. Проще говоря, кодирование - это способ, с помощью которого вы можете защитить ваши файлы и почту от посторонних глаз. Ваши файлы переводятся в код, представляющий собой, на первый взгляд, произвольное сочетание букв и цифр, которые непонятны для тех, кто их видит. Для того, чтобы закодировать файл, вы «закрываете» его ключом, в виде пароля. Для того, чтобы закодировать сообщение, вы закрываете его с помощью пары ключей, используя свой пароль. Сообщение может быть открыто только тем лицом, для которого оно предназначено, с помощью его / её пароля.

В: Почему правозащитники должны пользоваться кодированием?

О: Кодированием должны пользоваться все, так как цифровые средства связи изначально не обеспечивают конфиденциальности. Кроме того, правозащитники подвержены большему риску, чем большинство людей, и их файлы и средства связи более уязвимы. Для правозащитников чрезвычайно важно пользоваться кодированием для собственной защиты и для защиты людей, которым они стремятся помочь.

Цифровая технология - одно из благ, которым пользуются правозащитники. Она обеспечивает быструю связь, более высокую эффективность работы и расширяет их возможности. Однако, при всех своих достоинствах, эта технология представляет также определенную опасность. Тот факт, что вы одели ремень безопасности еще не означает, что вы ожидаете аварии всякий раз, когда вы находитесь за рулем. Управление автомобилем в более опасной ситуации, такой как автогонки, ещё больше побуждает вас пристегнуть ремень для ещё большей безопасности.

Правозащитники часто становятся объектами слежки. И поскольку практически каждый имеет возможность получить доступ к незакодированным сообщениям и прочитать их, то почти неизбежно, что ваши незакодированные сообщения будут прочитаны на каком-то этапе пересылки. Не исключено, что ваши сообщения уже контролируются вашими оппонентами, и вы никогда об этом не узнаете. Оппоненты людей, которым вы хотите помочь – это также и ваши оппоненты.

В: Является ли использование кодирования нелегальным?

О: Иногда. Применение кодирования вполне легально в большинстве стран мира. Тем не менее, есть исключения. В Китае, например, организации должны получить специальное разрешение на использование кодирования, и при въезде в эту страну вы должны декларировать технологию кодирования, используемую на вашем портативном компьютере. Сингапур и Малайзия имеют законы, требующие, чтобы каждый, кто хочет использовать кодирование, сообщил о своих личных паролях. Аналогичные законы действуют в Индии. Есть также и другие исключения.

Информационный центр электронной конфиденциальности (EPIC) предлагает «International Survey of Encryption Policy [Обзор международный политики в области кодирования]», в котором ведется обсуждение законов, действующих в большинстве стран мира на сайте http://www2.epic.org/reports/crypto2000/. Последний раз этот перечень обновлялся в 2000 г. Если вас интересуют более современные данные в этой сфере, проконсультируйтесь в “Приватерре, прежде чем использовать кодирование в какой-либо конкретной стране.

В: Что необходимо сделать, чтобы обезопасить наши IT-системы?

О: Это зависит от вашей системы и от вашей деятельности, но, как правило, каждый должен иметь следующее:

• Брандмауэр. • Дисковое кодирование. • Почтовое кодирование, позволяющую выполнять цифровую подпись, такую как PGP. • Программы обнаружения вирусов. • Надежную систему резервного копирования: Отправляйте все материалы на безопасный сайт и каждую неделю создавайте резервную копию на CD-RW и храните её в отдельном безопасном месте. • Пароли, которые можно запомнить, но трудно угадать. • Иерархию доступа– не у всех сотрудников организации есть необходимость в доступе ко всем файлам. • Последовательность – инструментальные средства не будут работать, если вы не работаете с ними постоянно!

Но наличие нужного программного обеспечения ещё не обеспечивает решения всех проблем. Как правило, самым слабым звеном являются не технологии, а люди. Кодирование не даст результатов, если люди не пользуются им постоянно, если они сообщают случайным знакомым свои пароли или оставляют их на видных местах, например, на наклейках на мониторе. Наличие резервной копии не спасет вас в случае пожара или нападения, если вы не храните её в отдельном безопасном месте. Доступ к конфиденциальной информации должен основываться на принципе необходимости, а не должен быть открыт всем без исключения сотрудникам организации, поэтому вам необходимо создать иерархии и правила. В целом, важно очень сознательно и скрупулёзно относиться к вопросам конфиденциальности и безопасности в своей повседневной работе. Мы называем это “здоровой паранойей”.

В: Как определить какую программу кодирования выбрать?

О: Обычно, вы можете спросить об этом у своих друзей, и получить подтверждение у нас. Вам необходимо связываться с определенными людьми и группами, поэтому если они используют специальные системы кодирования, то для удобства связи вам следует пользоваться такими же системами. Однако, прежде свяжитесь с нами. Некоторые пакеты программного обеспечения не очень эффективны, а некоторые представляют собой «сыр в мышеловке». Эти пакеты привлекают вас тем, что они бесплатны и, на первый взгляд, представляют собой безупречное программное обеспечение, предлагаемое теми самыми людьми, которые хотят шпионить за вами. Можно ли придумать лучший способ получения доступа к вашим наиболее уязвимым средствам связи, чем контролировать ваше программное обеспечение по кодированию?! Тем не менее, существует много популярных торговых марок - как лицензионного программного обеспечения, так и бесплатных программных средств. Но помните - перед тем, как использовать их, следует разузнать о них как можно больше3.

В: Не приведет ли использование кодирования к ещё большему риску взлома моего компьютера?

О: Никто не узнает, что вы пользуетесь кодированием, если за вашей перепиской ранее не была установлена слежка. Если слежка установлена, то вашу частную переписку уже давно читают. Это значит, что взлом уже совершен людьми, ведущими за вами слежку. Здесь есть опасность того, что люди, ведущие за вами наблюдение, в случае потери возможности читать вашу почту, попробуют прибегнуть к другим вариантам, поэтому вам следует хорошо знать своих коллег и пользоваться безопасным способом создания резервных копий и кодирования своей информации.

(Примечание: У нас нет информации о случаях, когда использование шифровальных программ приводило к возникновению проблем у правозащитников. Тем не менее, прежде чем приступить к шифровке информации, тщательно проанализируйте такую возможность, особенно если вы находитесь в стране с серьезным вооруженным конфликтом – военная разведка может заподозрить вас в передаче военной информации или, если шифровку используют очень немногие правозащитники, это привлечет к вам ненужное внимание.)

В: Почему необходимо все время кодировать почту и документы?

О: Если вы используете кодирование только в сугубо конфиденциальных целях, то те, кто ведет слежку за вами или вашими клиентами, смогут догадаться, когда происходят важные события, и вероятность нанесения удара в это время возрастет. Они не смогут прочесть вашу закодированную переписку, но смогут определить, закодирована она или нет. Внезапное широкое применение кодирования может привести к нападению, поэтому лучше начать использование кодирования до начала специального проекта. Практически, лучше всего, если передача информации осуществляется равномерно. Отсылайте закодированную почту с регулярным интервалом, даже если вам нечего сообщить. В этом случае, если вам будет необходимо отправить конфиденциальную информацию, она пройдет более незаметно.

В: Если у меня есть брандмауэр, зачем мне кодировать свою почту?

О: Брандмауэр предотвращает доступ хакеров к вашему жесткому диску и сети, но когда вы отправляете сообщение в Интернет, оно становится доступным всем. Поэтому перед отправкой вам следует его защитить.

В: Никто не взламывает мой офис, почему же я должен пользоваться конфиденциальным программным обеспечением?

О: Вы не знаете, взламывает ли кто-нибудь вашу систему либо считывает информацию с вашего компьютера. Без шифрования переписки, физической безопасности или правил конфиденциальности любой может получить доступ к вашим файлам, читать вашу почту и использовать ваши документы в корыстных интересах без вашего ведома. Ваши незакодированные письма могут также поставить под угрозу других людей, особенно в тех местах, где политически мотивированные нападения имеют большую вероятность. Вы должны шифровать свои файлы так же, как вы запираете свою входную дверь.

В: У нас нет доступа к Интернету, и мы вынуждены пользоваться услугами Интернет-кафе. Как нам защитить нашу почту, отправляемую с чужог компьютера?

О: Вы, тем не менее, можете шифровать вашу почту и файлы. Прежде чем идти в Интернет-кафе, зашифруйте все файлы, которые вы хотите отправить и скопируйте их в таком виде на дискету или компакт-диск. В Интернет-кафе подпишитесь на услугу шифрования, такую как www.hushmail.com или на любую услугу, обеспечивающую анонимность отправителя, такую как www.anonymizer.com, и пользуйтесь ими при отправке своей почты. Убедитесь, что люди, получающие вашу почту, также пользуются этими услугами.

В: Если так важно защитить наши файлы и почту, почему все не делают этого?

О: Эта сравнительно новая технология, но её применение расширяется. Банки, многонациональные корпорации, информационные агентства и правительства пользуются кодированием, считая это правильным вкладом капитала и неизбежными издержками при ведении бизнеса. НПО подвержены большему риску, чем компании, которые пользуются поддержкой большинства правительств. НПО значительно чаще становятся объектами наблюдения и, поэтому, должны быть более активны в применении этой технологии. Правозащитники заинтересованы в защите преследуемых людей и групп. С этой целью они создают файлы, позволяющие идентифицировать и установить местонахождение людей. В случае несанкционированного доступа к этим файлам, этих людей могут убить, замучить, похитить или «уговорить» больше не сотрудничать с НПО. Информация с этих файлов может быть также использована как свидетельские показания против НПО и их клиентов для осуществления политических преследований.

В: Один из наших принципов – открытость. Мы выступаем за большую прозрачность деятельности правительства. Как мы можем пользоваться секретными технологиями?

О: Защита информации совместима с открытостью. Если правительство пожелает открыто запросить вашу информацию, оно может сделать это в соответствии с установленными процедурами. Технологии защиты препятствуют несанкционированному доступу к вашей информации.

В: Мы соблюдаем все протоколы конфиденциальности и секретности, но, тем не менее, происходит утечка информации – в чём дело?

О: Возможно, в вашей организации есть шпион, или кто-то просто не может хранить конфиденциальную информацию. Пересмотрите вашу информационную иерархию, сократите список людей, имеющих доступ к конфиденциальной информации – и возьмите этих немногих людей под особое наблюдение. Большие корпорации и организации обычно передают небольшие объемы фальшивой информации конкретным людям. Если происходит утечка этой информации, то её можно легко проследить к работнику, которому эта ложная информация предоставлялась. Рекомендации по использованию шифрования

• Пользуйтесь шифрованием постоянно. Если вы шифруете только конфиденциальные материалы, то тот, кто отслеживает вашу почту, будет знать, когда должно произойти что-то важное. Внезапное увеличение количества зашифрованной информации может привести к нападению на офис.

• НЕ сообщайте о конфиденциальной информации в теме сообщения, которая, как правило, не кодируется, даже если само сообщение закодировано.

• Применяйте пароли, содержащие буквы, числа, пунктуацию и пробелы, о которых можете знать только вы. Некоторые способы безопасного создания пароля используют компоновки на клавиатуре или произвольный набор слов вперемежку с символами. Практически, чем длиннее пароль, тем он надежнее.
• НЕ используйте в качестве пароля одно слово, имена, известные фразы или адреса, записанные в вашей адресной книге. Такие пароли расшифровываются в течение нескольких минут.
• Создайте резервную копию ключа кодирования (файла, в котором находится ваш личный ключ для кодирования программ) в безопасном месте, например, на гибком диске или на маленькой удаляемой «цепочке» в памяти флэш-карты.

• НЕ отправляйте конфиденциальный материал людям только потому, что они прислали вам зашифрованное сообщение с указанием знакомого вам имени. Любой человек может “разыграть” вас, сделав свой адрес похожим на адрес человека, которого вы знаете. Всегда проверяйте идентичность этого человека, прежде чем доверять ему – свяжитесь с ним лично, проверьте по телефону или направьте ещё одно сообщение для двойной проверки.

• Учите других пользоваться шифрованием. Чем больше людей им пользуется, тем в большей безопасности будут все.

• НЕ забывайте подписывать и шифровать сообщение. Ваш получатель должен знать, не подменили ли сообщение при пересылке.

• Обязательно шифруйте файлы, направляемые в виде отдельных приложений. Обычно, они шифруются автоматически при отправке зашифрованного письма.

3 Например, программа PGP (“Pretty Good Privacy” [Весьма хорошая конфиденциальность]) - хорошо известная и безопасная система. Вы можете загрузить её с веб-сайта www.pgpi.org

Руководство по безопасному управлению офисом и информацией

Безопасное управление офисом

Безопасное управление офисом связано с соблюдением установленного порядка. Установленный порядок управления может иметь не только плюсы, но и минусы. Для разработки позитивных методов управления офисом полезно ознакомиться с тем, что за ними стоит. Мы составили список привычек, которые могут быть вам полезны для более безопасного управления информацией, но только в том случае, если вы их разовьете и задумаетесь над тем, почему они важны.

Что является наиболее важным для секретности и безопасности в управлении офиса?

• Всегда помнить об информации и о том, кто имеет к ней доступ

• Развивать безопасные привычки и постоянно их соблюдать

• Правильно пользоваться инструментальными средствами

Администрирование

Многие организации имеют системных администраторов или сотрудника, имеющего административный доступ к почтовым сообщениям, сетевым компьютерам и контролирующего установку новых программ. Если кто-то уходит из организации или отсутствует, то администратор может получить доступ к информации этого человека, и работа продолжается непрерывно. Это также означает, что этот сотрудник несет ответственность за чистоту программного обеспечения и за то, что оно получено из надежных источников.

Проблема заключается в том, что некоторые организации рассматривают эту функцию как простую техническую поддержку и разрешают посторонним контракторам пользоваться административными привилегиями. Этот администратор имеет фактический контроль над всей информацией в организации и должен пользоваться абсолютным доверием. Некоторые организации делят эту функцию между двум лицами: руководителем организации и другим доверенным лицом. Некоторые организации предпочитают кодировать и хранить все PGP-ключи и пароли в удаленном и безопасном месте в другой организации, которой они доверяют. Это позволяет избежать проблем, если кто-то забыл свой пароль или потерял свой персональный ключ. Тем не менее, местонахождение файлов должно гарантировать их абсолютную конфиденциальность и безопасность; необходимо также вести специальные протоколы по получению доступа к файлам.

Правила:

1 * НИКОГДА не предоставляйте административных привилегий посторонним контракторам. Не только потому, что им следует доверять меньше, чем людям, работающим в организации, но ещё и потому, что в случае необходимости, с ними труднее связаться.

2 * Административные привилегии должны предоставляться только самым доверенным лицам.

3 * Определите объем информации, к которому системный администратор может иметь доступ: доступ ко всем компьютерам, к паролям, к паролям логина, к ключам и паролям PGP и т.д.

4 * Если вы решите хранить копии паролей и персональных ключей PGP в другой организации, то вы должны составить правила допуска к ним.

5 * В случае увольнения человека из организации, его пароли и коды допуска должны быть немедленно изменены.

6 * Если кто-то, имеющий административные привилегии, увольняется из организации, все пароли и коды доступа должны быть немедленно изменены.

Управление программным обеспечением

Использование «пиратских» программ может создать для организации угрозу со стороны так называемой «программной полиции». Официальные власти могут применить санкции против организации за пользование нелегальными программами, наложить огромные штрафы и даже закрыть их. Организация, попавшая под подозрение, не пользуется сочувствием и поддержкой у западных средств информации, так как это расценивается не как атака на саму правозащитную организацию, а как атака на «пиратство». Будьте очень осторожны в вопросах лицензий на пользование программами и не разрешайте всем сотрудникам офиса подряд делать их копии. Кроме того, «пиратские» программы могут быть небезопасны, так как могут содержать вирусы. При инсталляции новых программ всегда используйте антивирусные утилиты.

Системный администратор должен контролировать инсталляции новых программ, чтобы вначале убедиться, что они проверены. Не допускайте инсталляции потенциально небезопасных программ и устанавливайте только те программы, которые действительно необходимы.

Устанавливайте самые последние пачи безопасности (программы, исправляющие ошибки, найденные изготовителем в собственной программной продукции) для всех используемых программ, особенно для Microsoft Office, Microsoft Internet Explorer и Netscape. Самую большую угрозу для безопасности представляют программы и аппаратное управление, поставляемые с известными недостатками. Лучше всего, продумайте целесообразность подключения к программному обеспечению с открытым ключом, которое не зависит от модели коммерческого поведения “Безопасность за счёт неясности”, а скорее приглашает как экспертов по безопасности, так и хакеров к тщательной проверке всех кодов. Использование программного обеспечения с открытым ключом и любого другого программного обеспечения, кроме продукции фирмы Microsoft, дает дополнительные преимущества защиты от стандартных вирусов и хакеров-любителей. Количество вирусов, созданных для операционных систем Linux или Macintosh меньше, так как большинство людей пользуются оболочкой Windows. Outlook – наиболее распространенная почтовая программа, и, поэтому, она чаще всего подвергается атакам со стороны хакеров.

Полезные привычки при работе с электронной почтой

Шифрование почты должно стать привычкой. Легче помнить, что шифровать надо всё, чем соблюдать правила, когда шифровать почту, а когда нет. Помните, если почта шифруется всегда, то лица, просматривающие вашу почту, никогда не смогут определить, когда она становится более важной и конфиденциальной, а когда нет.

Несколько важных советов:

• Всегда сохраняйте зашифрованную почту в зашифрованном виде. Вы всегда сможете её расшифровать позже, в противном случае, если кто-то получит доступ к вашему компьютеру, то она станет такой же уязвимой, как и любая незашифрованная информация.

• Будьте последовательны со всеми, с кем вы обмениваетесь зашифрованной информацией, чтобы быть уверенными, что они не расшифровывают и не пересылают почту другим лицам или отвечают, не шифруя свою почту. Лень

– самая большая опасность в обмене информацией.

• Возможно, вы захотите создать несколько безопасных учётных записей для электронной почты, обычно не используемых и неохваченных серверами спама, для тех сотрудников, которые находятся непосредственно на месте событий. Эти почтовые адреса должны постоянно проверяться, но не использоваться никем, кроме соответствующих сотрудников. Таким образом вы сможете уничтожить электронные адреса, на которые приходит большое количества спама, не подвергая при этом никакому риску свою контактную базу.

Общие соображения относительно использования Интернет-кафе и др.

Почта, отправленная простым или незашифрованным текстом, может быть доступна различным посторонним лицам, если они того захотят. Один из них может быть вашим провайдером Интернет-услуг (ISP) или любым другим ISP, через который проходит ваша почта. Почта проходит через множество серверов по пути от отправителя к получателю, она игнорирует геополитические границы и может проходить через серверы в других странах, даже если вы отправляете их в пределах одной страны.

Несколько общих советов по вопросам, которые обычно неправильно понимаются пользователями Интернета.

• Пароль, защищающий файл, настолько малоэффективен, что вряд ли его стоит ставить для защиты документа содержащего конфиденциальную информацию. Он дает только ложное ощущение безопасности.

• Архивирование файла не защитит его от того, кто захочет узнать, что там внутри.

• Если вы хотите быть увереным, что файл или письмо отправлено безопасно, используйте шифрование (см www.privaterra.com).

• Если вы хотите безопасно отправить письмо или документ, используйте шифрование очень последовательно, вплоть до конечного получателя. Не следует направлять закодированное письмо с места событий в Нью-Йорк, Лондон или в другие пункты назначения, а потом пересылать это же письмо в незашифрованном виде по другому адресу.

• Интернет – это глобальная по своей природе сеть. И нет разницы между пересылкой письма из одного офиса в Манхэттене в другой и пересылкой письма из Интернет-кафе в Южной Африке на компьютер в Лондоне.

• Используйте шифрование как можно чаще, даже если почта или пересылаемые данные не являются конфиденциальными!

• Убедитесь, что ваш компьютер оснащён антивирусной программой. Многие вирусы создаются с целью получения информации из вашего компьютера, включая содержание жестких дисков, почты и адресной книги.

• Убедитесь, что ваше программное обеспечение защищено лицензией. Если вы пользуетесь нелицензионными программами, то, в глазах правительства и средств массовой информации, вы сразу становитесь «пиратом», а не

правозащитником. Лучше всего пользоваться программным обеспечением с открытым ключом – оно бесплатно!

• Не существует 100%-й безопасности, если вы пользуетесь Интернетом. Помните, что кто-то может получить доступ к вашей системе, используя метод «социального хакера», выдавая себя за кого-то другого по телефону или по электронной почте. Пользуйтесь своим собственным суждением и здравым смыслом.