Руководство по безопасному использованию групповых чатов и конференционной связи
В период эпидемии COVID-19 команды продолжают работать удаленно, и мы все сталкиваемся с вопросами относительно безопасности нашей коммуникации друг с другом: Какие платформы и инструменты для коммуникации лучше использовать? Какие из них наиболее безопасны для конфиденциальных внутренних переговоров? Какие обладают необходимым функционалом для проведения онлайн тренингов и курсов и лучше защищают частную жизнь и безопасность участвующих?
Front Line Defenders представляет краткий обзор, который поможет вам выбрать подходящую платформу для ваших специфических потребностей. В этом руководстве мы представим:
- Критерии выбора инструментов или платформ
- Дополнительную информацию о каждом инструменте/сервисе, указанном в данном руководстве
- Рекомендации по проведению видеозвонков, вебинаров или онлайн-тренингов
Пояснение:
-
При сквозном шифровании (end-to-end encryption, e2ee) ваше сообщение шифруется перед отправкой с вашего устройства и расшифровывается только на устройстве получателя. Использование сквозного шифрования важно при конфиденциальных переговорах, таких как внутренние встречи и общение с партнёрами.
-
При шифровании на сервере ваше сообщение не остается зашифрованным на все время пути. Оно зашифровывается перед тем, как покинуть ваше устройство, но сервис, который вы используете (например, Google Meet или Microsoft Teams) расшифровывает его для обработки и снова зашифровывает перед отправкой реципиентам/кам. Это означает, что кто-то, кто имеют доступ к серверам, потенциально могут перехватить ваши сообщения. Шифрование на сервере хорошо в том случае, если вы полностью доверяете серверу.
Почему мы не упоминаем Zoom и иные платформы/инструменты: Существует множество платформ, которые могут быть использованы для групповой коммуникации. В этом руководстве мы решили остановиться на тех, которые, по нашему мнению, наиболее удобны и безопасны. Конечно же, ни одна платформа не гарантируют 100% безопасность, поскольку любая передача данных сопряжена с риском. Мы не включили такие платформы, как Zoom, Skype, Telegram, WhatsApp и другие, поскольку считаем, что их использование несёт слишком высокие риски, и Front Line Defenders не может их рекомендовать.
Слежка за онлайн активностью: Некоторые компании, такие как Facebook, Google, Apple и другие, систематически собирают и анализируют информацию о пользователях и их онлайн активности для извлечения прибыли. Эти компании уже имеют цифровые профили для большинства, если не всех нас. При шифровании на стороне сервера владельцы платформы могут хранить ваши сообщения. Даже при сквозном шифровании данные о вашем коммуникационном поведении, такие как место, время отправки сообщений, контакты, частота и прочее, могут отслеживаться. Если вы опасаетесь, что сбор, хранение и передача таких данных может повлечь угрозы вашей безопасности, мы рекомендуем воздержаться от использования услуг, предоставляемых данными компаниями.
Уровень защиты разговора зависит не только от выбранной платформы, но также от физической безопасности пространства, где находитесь вы и другие участвующие, и от цифровой защищённости используемых устройств.
См. также:
Предупреждение: Использование шифрования запрещено в ряде стран. Пожалуйста, изучите законодательство вашей страны, прежде чем использовать инструменты, упомянутые в этом руководстве.
Критерии выбора инструментов и платформ
Прежде чем выбрать платформу, приложение или программу для коммуникации, внимательно изучите её. Ниже приведён список наиболее важных вопросов, на которые стоит обратить внимание:
-
Является ли платформа достаточно развитой? Как долго она существует? Находится ли она в стадии активной разработки? Как много людей участвует в разработке? Сколько у неё активных пользовательниц?
-
Использует ли платформа шифрование? Если да, то осуществляется ли оно на стороне клиента (сквозное шифрование) или сервера?
-
В юрисдикции какого государства находится владелец платформы и где находятся серверы? Представляет ли это потенциальную угрозу для вас или ваших партнёров?
-
Даёт ли платформа возможность хранения данных на собственном хостинге?
-
Имеет ли платформа открытый код? Предоставляет ли она кому-то исходный код для изучения?
-
Проводился ли независимый аудит платформы и когда? Что говорят эксперты об этой платформе?
-
Что можно сказать об истории разработки и предыдущих владельцах платформы? Возникали ли когда-либо проблемы с безопасностью? Как на них реагировали владельцы и разработчики?
-
Как вы связываетесь с другими участвующими? Требуется ли предоставлять номер телефона, адрес электронной почты или никнейм? Требуется ли устанавливать специальное приложение/программу? К чему будет иметь доступ это приложение/программа? Например, к списку контактов, местоположению, микрофону, камере и т.д.?
-
Что хранится на сервере? К каким данным имеет доступ владелец платформы?
-
Насколько платформа доступна? Сюда следует включить стоимость подписки, обучение и внедрение, а также возможную поддержку ИТ, стоимость хостинга и т.д.
Подробная информация об инструментах/сервисах, упомянутых в этом руководстве
Пояснение: все указанные платформы, приложения и программы должны работать в операционных системах Windows, MacOS, Linux, Andoid и iOS, если не указано иное. Функционал может отличаться в зависимости от операционной системы.
Signal - https://signal.org/
- Владелец: Signal Technology Foundation / США (некоммерческая организация)
- Шифрование: сквозное
- Возможности: аудио / видео / текст; исчезающие сообщения; звуковые сообщения; пересылка файлов и фотографий;
- Лицензия: бесплатное открытое программное обеспечение (GNU General Public License v3.0)
- Хостинг: серверы Signal
- Стоимость: бесплатно
- Число участвующих: голосовое/видео обшение - до 8 человек, текстовое общение - неограниченно
- Требуется ли аккаунт: да, регистрация по номеру телефона
- Доступ с помощью: приложение на телефоне или программа на компьютере
- Примечания: Для связи с кем-либо вы должны сообщить им свой номер телефона. Мы рекомендуем использовать настройки безопасности, включая Signal PIN, Registration Lock, Screen Lock и Enable Screen Security в разделе Privacy settings. Signal публикует отчёт о прозрачности
Delta Chat - https://delta.chat/
- Владелец: Merlinux GmbH / Германия (коммерческая компания)
- Шифрование: сквозное
- Возможности: текст; звуковые сообщения; пересылка файлов и фотографий;
- Лицензия: бесплатное открытое программное обеспечение (GNU General Public License v3.0)
- Хостинг: работает с любым почтовым сервером (протокол IMAP)
- Стоимость: бесплатно
- Число участвующих: без ограничений
- Требуется ли аккаунт: да, любой email аккаунт с поддержкой IMAP
- Доступ с помощью: приложение на телефоне или программа на компьютере
- Примечания: Для связи с кем-либо вы должны сообщить им свой email.
Element - https://element.io
- Владелец: коммерческая компания New Vector Ltd. / USA
- Возможности: голосовые/видео/текстовые сообщения (смотрите примечания ниже); открытые чаты; пересылка файлов или фотографий; совместимость с Jitsi Meet и другими платформами коммуникаций; демонстрация экрана
- Лицензия: бесплатный продукт с открытым исходным кодом (Apache License 2.0)
- Хостинг: самохостинг или сторонний хостинг (на сервере matrix.org)
- Стоимость: бесплатные или платные опции
- Ограничение по количеству участников_ц: голосовые сообщения – один на один, видеосообщения – один на один, текстовые сообщения – без ограничений.
- Требования к учетной записи: да, требуется регистрация – но оставлять адрес электронной почты или телефон не нужно
- Доступ при помощи: приложения на телефоне или программы на компьютере
- Примечания: голосовые/видео звонки возможны только с телефона; опция групповых голосовых/видео звонков недоступна. Всегда необходимо проверять, активирована ли функция сквозного шифрования. На это указывает черный значок, расположенный на иконке чата. Данную функцию можно активировать вручную в настройках чата. Ранее Element был известен под названием Riot. Программа создана на протоколе Matrix.org.
Wire - https://wire.com/
- Владелец: Wire Swiss GmbH / Швейцария (коммерческая компания)
- Шифрование: сквозное
- Возможности: аудио / видео / текст; исчезающие сообщения; звуковые сообщения; пересылка файлов и фотографий;
- Лицензия: бесплатное открытое программное обеспечение (клиент: GNU General Public License v3.0, сервер: GNU Affero General Public License v3.0)
- Хостинг: серверы Wire
- Стоимость: бесплатно для личного использования, в остальных случаях ежемесячная подписка
- Число участвующих: аудио до 25 / видео до 12 / текст до 500 участвующих
- Требуется ли аккаунт: да, регистрация по email или номеру телефона. Все участвующие могут создавать коммуникационные группы.
- Доступ с помощью: приложение на телефоне, программа или браузер на компьютере.
Jitsi Meet - https://jitsi.org/jitsi-meet/
- Владелец: 8x8 / США (коммерческая компания)
- Шифрование: на стороне сервера
- Возможности: аудио / видео / текст; совместное использование экрана, в зависимости от настроек сервера: запись встреч; прямая трансляция (на YouTube);
- Лицензия: бесплатное открытое программное обеспечение (сервер: Apache License 2.0)
- Хостинг: на своём либо стороннем сервере. См. список публичных надёжных серверов на схеме выше.
- Стоимость: бесплатно
- Число участвующих: зависит от конфигурации сервера, часто 75
- Требуется ли аккаунт: нет, вы можете начать разговор, пройдя по ссылке.
- Доступ с помощью: приложение на телефоне, программа или браузер на компьютере.
- Примечания: так как Jitsi Meet использует шифрование на сервере, очень важно обращаться к серверу, которому вы доверяете. Выше мы перечислили некоторые сервера, которые мы считаем надежными. Просмотрите большой список исследований, прежде чем использовать любой из них, не предполагайте, что все из них заслуживают доверия. Вы также можете установить Jitsi Meet на своём сервере. Разработчики Jitsi Meet планируют внедрить сквозное шифрование в ближайшем будущем. На некоторых серверах вы можете увидеть опцию "Phone in" - имейте в виду, что это обычные незашифрованные звонки. Вы также можете установить пароль для желающих присоединиться к разговору. См. наше руководство по безопасному использованию Jitsi Meet (на англ.)
BigBlueButton - https://bigbluebutton.org/
- Владелец: BigBlueButton Inc. / США (коммерческая компания)
- Шифрование: на стороне сервера
- Возможности: аудио / видео / текст; презентации / совместное использование экрана / доска / общие заметки / сессионные залы / запись встреч
- Лицензия: бесплатное открытое программное обеспечение (сервер: GNU Lesser General Public License v3.0)
- Хостинг: на своём сервере
- Стоимость: бесплатно
- Число участвующих: зависит от конфигурации сервера, обычно до 75
- Требуется ли аккаунт: да - для модератора регистрация по email, нет - для участвующих; только модератор может создать встречу/тренинг.
- Доступ с помощью: браузер на телефоне или компьютере
- Примечания: BBB - это программное обеспечение, которое может устанавливаться на сервер. Оно было специально разработано для онлайн тренингов и имеет множество полезных функций для этих целей (см. руководство для участвующих и модераторов)
Whereby - https://whereby.com/
- Владелец: Video Communication Service AS / Videonor / Норвегия (коммерческая компания)
- Шифрование: сквозное (до 4 участвующих) / на стороне сервера (если больше)
- Возможности: аудио / видео / текст / совместное использование экрана / запись встреч
- Лицензия: проприетарная
- Хостинг: на сервере Whereby
- Стоимость: бесплатно (до 4 участвующих) / ежемесячная подписка (если больше)
- Число участвующих: 50 (зависит от подписки)
- Требуется ли аккаунт: да, для модератора; только модератор может создать встречу.
- Доступ с помощью: приложение на телефоне или программа на компьютере.
Blue Jeans - https://www.bluejeans.com/
- Владелец: BlueJeans Network (Verizon) / США (коммерческая компания)
- Шифрование: на стороне сервера
- Возможности: аудио / видео / текст / запись встреч
- Лицензия: проприетарная
- Хостинг: на сервере Blue Jeans
- Стоимость: ежемесячная подписка
- Число участвующих: 100 (зависит от подписки)
- Требуется ли аккаунт: да, для модератора (регистрация по email); нет, для участвующих;
- Доступ с помощью: приложение на телефоне, браузер на компьютере, телефонный звонок.
GoToMeeting - https://www.gotomeeting.com/
- Владелец: LogMeIn Inc / США (коммерческая компания)
- Шифрование: на стороне сервера
- Возможности: аудио / видео / текст (с ограничениями) / совместное использование экрана / запись встреч
- Лицензия: проприетарная
- Хостинг: на сервере GoToMeeting
- Стоимость: ежемесячная подписка
- Число участвующих: 3000 (зависит от подписки)
- Требуется ли аккаунт: да, для модератора/админа (регистрация по email); нет, для участвующих;
- Доступ с помощью: приложение на телефоне, программа или браузер на компьютере, телефонный звонок.
Facetime / iMessage - https://www.apple.com/ios/facetime
- Владелец: Apple / США (коммерческая компания)
- Шифрование: сквозное
- Возможности: аудио / видео / текст / голосовые сообщения / пересылка файлов
- Лицензия: проприетарная
- Хостинг: на серверах Apple
- Стоимость: бесплатно
- Число участвующих: 32 (не во всех регионах)
- Требуется ли аккаунт: да, регистрация по email или номеру телефона. Все участвующие могут создавать коммуникационные группы.
- Доступ с помощью: приложение на телефоне или компьютере
- Примечания: Facetime / iMessage работает только на устройствах, выпущенных Apple, таких как iPhone, Mac Book or iPad. Apple может собирать некоторую информацию о разговоре. Apple публикует отчёт о прозрачности.
Google Meet - https://meet.google.com/
- Владелец: Google LLC / США (коммерческая компания)
- Шифрование: на стороне сервера
- Возможности: аудио / видео / текст / совместное использование экрана / планирование звонков / показ видео / фильтрация фонового шума
- Лицензия: проприетарная
- Хостинг: на серверах Google
- Стоимость: бесплатно до 30 сентября / затем по подписке
- Число участвующих: 250 для аккаунтов Google Workspace, 100 для бесплатных аккаунтов
- Требуется ли аккаунт: да, модератору требуется аккаунт в Google, участвующим - нет; только модератор может создать встречу.
- Доступ с помощью: приложение на телефоне, браузер на компьютере
- Примечания: Google может собирать некоторую информацию о содержании разговора (поскольку используется шифрование на стороне сервера) и о разговоре. Google публикует отчёт о прозрачности.
Duo - https://duo.google.com/
- Владелец: Google LLC / США (коммерческая компания)
- Шифрование: сквозное
- Возможности: аудио / видео
- Лицензия: проприетарная
- Хостинг: на серверах Google
- Стоимость: бесплатно
- Число участвующих: 12 по состоянию на март 2020г., планируется до 32
- Требуется ли аккаунт: да, номер телефона
- Доступ с помощью: приложение
- Примечания: Duo работает только с телефона (Android или iOS). Приложение оптимизировано для интернета с низкой пропускной способностью. Google может собирать некоторую информацию о разговоре.
WhatsApp - https://www.whatsapp.com/
- Владелец: Facebook / США (коммерческая компания)
- Шифрование: сквозное
- Возможности: аудио / видео / текст; голосовые сообщения / отправка файлов
- Лицензия: проприетарная
- Хостинг: на серверах Facebook
- Стоимость: бесплатно
- Число участвующих: 8 для аудио и видео / текст до 256 / все участвующие могут создавать коммуникационные группы
- Требуется ли аккаунт: да, регистрация по номеру телефона
- Доступ с помощью: приложение на телефоне, программа на компьютере
- Примечания: Для связи с кем-либо вы должны предоставить им номер телефона. Facebook может собирать некоторую информацию о разговоре. Facebook планирует интеграцию WhatsApp с Messenger Rooms для звонков с более 8 участвующими (до 50). Messenger Rooms не предоставляет сквозного шифрования, в результате чего Facebook будет иметь полный доступ к содержанию разговора.
Microsoft Teams - https://teams.microsoft.com
- Владелец: коммерческая компания Microsoft / USA
- Шифрование: от пользователя к серверу
- Возможности: голосовое/видео/текстовое общение возможно как один на один, так и в группе; тематические каналы; совместимость с пакетом office, электронной почтой, календарями и поддержка расписания по часовым поясам; хранение файлов; демонстрация экрана, управляемая мышкой, опросы, смена фоновой заставки, пересылка файлов и мультимедиа
- Лицензия: проприетарная
- Хостинг: на серверах Microsoft's
- Стоимость: бесплатная и платная версии
- Ограничение по количеству участников_ц: 20 человек на видеозвонок, 300 – на текстовый чат (смотрите раздел «Ограничения и спецификации https://docs.microsoft.com/en-us/microsoftteams/limits-specifications-teams)
- Требования к учетной записи: да, участникам_цам нужно регистрировать учетную запись. Существует опция присоединиться в качестве гостя, если вас пригласил зарегистрированный участник, однако некоторые функции в данном случае ограничены.
- Доступ при помощи: приложения на телефоне или программы на компьютере
- Примечания: Microsoft может сохранять некоторую информацию из сообщений (так как используется шифрование от пользователя к серверу) и о них. Microsoft публикует отчет о прозрачности.
Рекомендации для видеозвонков, вебинаров и онлайн тренингов
Видеозвонки: В текущей ситуации вы, несомненно, проводите или участвуете в большем количестве разговоров в режиме видеосвязи, чем прежде. Чтобы делать это безопасно и не подвергать себя и свои данные излишнему риску, следуйте следующим рекомендациям:
- Учитывайте, что при подсоединении к звонку ваша камера и микрофон могут быть включены по умолчанию. Попробуйте закрывать камеру с помощью стикера (так чтобы не оставлять липких следов на объективе) и снимать стикер, только когда вы пользуетесь камерой.
- Подумайте, хотите ли вы, чтобы другие участвующие видели интерьер вашего дома, семейные фотографии, записки на стене и др. Что попадает в объектив помимо вас? До начала разговора вы можете протестировать камеру, например, на meet.jit.si, нажав кнопку GO, чтобы увидеть, что попадает в объектив. Возможно, стоит также расчистить беспорядок на заднем плане.
- Постарайтесь, чтобы во время разговора не были слышны посторонние голоса. Закройте дверь и окна или предупредите о разговоре тех, кто с вами живёт.
- Средства видеосвязи могут собирать информацию о вашем местоположении и активности, поэтому по возможности используйте VPN (см. Руководство по физической, эмоциональной и цифровой безопасности при работе из дома во время COVID-19 - на англ.)
- Лучше всего разместить камеру так, чтобы глаза находились примерно в верхней трети изображения. За исключением случаев, когда вы не хотите показывать лицо, убедитесь, что у вас за спиной нет источника освещения или окна. Будет лучше, если источник освещения будет находиться перед вами. Сядьте так, чтобы лицо всё время оставалось в объективе. Иногда вы можете смотреть в камеру, чтобы поддерживать зрительный контакт с другими участвующими. Если вы пользуетесь телефоном, прислоните его к устойчивому объекту (например, стопке книг) так, чтобы изображение не дёргалось.
- Отключайте звук (mute), чтобы другие участвующие не слышали посторонних звуков (например, как вы набираете текст), так как это может сильно отвлекать от разговора.
- - Если интернет медленный, попробуйте выключить камеру, приостановить работу других программ и отключить микрофон. Попросите других сделать то же. Вы можете также подсесть ближе к роутеру или подсоединить компьютер напрямую к роутеру с помощью кабеля ethernet. Если вы используете роутер совместно с другими людьми, попросите их уменьшить интернет-активность на время вашего разговора.
- Во время групповых звонков часто возникает соблазн параллельно заняться другими делами. Однако очень скоро вы осознаете, что потеряли нить разговора, и другим участвующим это будет заметно.
- Если вы используете новый сервис для разговора, возможно, вам понадобится несколько минут, чтобы протестировать его до начала разговора и ознакомиться с такими функциями, как включение/выключение камеры, микрофона и т.д.
- По возможности продумайте и протестируйте альтернативный вариант проведения разговора на случай непредвиденных трудностей с подключением. Например, добавьте участвующих в группу в Signal, чтобы иметь возможность отправлять текстовые сообщения при проблемах со связью. Также полезно установить различные браузеры на компьютере или приложения в телефоне, с помощью которых вы сможете установить соединение.
Если вы планируете организовать вебинар или онлайн тренинг, то можете воспользоваться теми же сервисами, что и для групповых переговоров. Ниже вы найдёте некоторые советы:
- Убедитесь, что знаете всех участвующих. Если требуется, попросите всех представиться. То, что вам знакомы имена пользователей, ещё не означает, что за ними стоят эти самые люди.
- Договоритесь об основных правилах: например, камера должна быть включена или выключена; микрофон выключается, когда человек не говорит; поднятая рука, когда человек собирается говорить; кто модерирует встречу; кто ведёт протокол, как и кем он будет использован; можно ли делать скриншоты во время видеозвонка; можно ли записывать разговор и т.д.
- Чётко определите повестку и временные рамки. Если вебинар займёт больше часа, лучше разделить его на чёткие почасовые сессии, разделённые перерывом, по согласованию с участвующими. Учитывайте, что не все участвующие могут вернуться после перерыва. Используйте альтернативные способы связи, чтобы напомнить им о продолжении мероприятия, например, их контакты в Signal, Wire или DeltaChat.
- Проще использовать сервисы, работающие на основе браузера без необходимости регистрации или установки специальных программ. Желательно, чтобы сервис позволял организаторам вебинара приглушить микрофоны и выключить камеры всех участвующих.
- До начала разговора узнайте у всех участвующих, имеют ли они особые потребности, например, нет ли у них проблем со слухом, зрением и иных особенностей, затрудняющих участие во встрече. Учитывайте эти потребности при выборе платформы и протестируйте её заранее. Часто для повышения инклюзивности и вовлечённости в разговор вам понадобятся простые мере, такие как, например, включение камер, чтобы обеспечить возможность чтения по губам.
- Призывайте всех участвующих говорить медленно и по возможности избегать жаргонизмов, т.к. рабочий язык, на котором ведётся разговор, часто не является родным для кого-то из участвующих. В процессе разговора естественным образом будут возникать паузы - используйте их, они могут быть полезны для лучшего понимания и помогут участвующим с плохим слухом, переводчицам, а также программам распознавания речи правильно понять слова.