Техніки та Інструменти Розслідування

The Kit

kit.exposingtheinvisible.org

workshop

Безпека перш за все! Основи превентивної цифрової безпеки

Цей семінар знайомить учасників з основами превентивної цифрової безпеки та заходами підвищення поінформованості про ризики, які вони можуть застосувати у власному контексті. Також надає основні принципи та критерії оцінки та вибору цифрових інструментів на основі конкретних індивідуальних або групових/командних ситуацій та потреб.

Огляд семінару

Тема: Основи цифрової безпеки для громадянських розслідувачів, журналістів, дослідників та інших, хто працює з інформацією як доказами

Цілі:

  • Ознайомити учасників з основами превентивної цифрової безпеки та заходами усвідомлення ризиків, які вони можуть застосувати у своєму контексті.
  • Продемонструвати важливість розвитку "мислення щодо оцінки ризиків і безпеки", а не прийняття певної автоматизованої поведінки та набору фіксованих інструментів і методів.
  • Ознайомити учасників з основними принципами та критеріями вибору цифрових інструментів у їхніх конкретних індивідуальних або групових/командних контекстах.
  • Підвищити усвідомлення того, що безпека стосується не лише цифрових чи фізичних аспектів, але й стану мислення, загальної поведінки та благополуччя.

Загальні вказівки для тренерів:

  • Цей семінар можна розділити на сесії тривалістю 30–40 хвилин. Перерви не включені до розкладу; ви можете вирішити, коли їх розмістити, залежно від вашого контексту. Між сесіями можна додати коротку перерву або швидку активізуючу вправу (енерджайзер).
  • Для групових занять розділіть учасників на команди по 3–5 осіб. Будь ласка, адаптуйте час, виділений на зворотний зв'язок та обговорення / підведення підсумків після вправ, залежно від кількості учасників і розміру груп. Ви також можете заохотити учасників призначати різні ролі під час роботи в групах. Ці ролі можуть включати Фасилітатора, Нотатника, Таймкіпера, Презентатора або Художника (якщо потрібна візуальна презентація).
  • Для онлайн-семінарів ми рекомендуємо показувати таймер на екрані під час енерджайзерів та роботи в малих групах.
  • Коли це можливо, адаптуйте приклади семінару до контексту вашої аудиторії.

Спосіб проведення: онлайн-/офлайн-семінари

Тривалість семінару (без перерв): 2 години 40 хвилин

Кількість учасників: від 6 до 24

Пов'язані семінари: Цей семінар може бути продовжений семінаром "Як працює Інтернет" та/або поєднаний з "Вступ до управління ризиками для дослідника".

Пов'язані статті та посібники Exposing the Invisible:

Вправи та шаблони семінару для завантаження:

Навчальні заходи

Вступ (15 хвилин)

Вступ до семінару

Презентація | 5 хвилин

Інструкції

  • Привертайте увагу, ставлячи запитання або коментуючи відповідну тему, зображення тощо.

  • Представте себе та цілі семінару.

  • За бажанням: представте джерело матеріалів семінару (Tactical Tech).

  • Повідомте учасникам про порядок денний семінару.

  • Запропонуйте основні правила поведінки на семінарі: як ви очікуєте, що учасники будуть діяти та реагувати, поважати один одного тощо. Запросіть учасників коментувати або доповнювати основні правила. Залежно від часу, який ви проводите з учасниками семінару, якщо ви проводите довший тренінг, ви також можете розглянути можливість розробки спільно узгодженого Кодексу поведінки або спільної угоди (див. деякі поради в розділі "Спільні угоди" посібника з гендеру та технологій Tactical Tech.

Представлення учасників / Криголам

Виконання вправи | 10 хвилин

Інструкції

  • Проведіть раунд представлень, попросивши учасників відповісти на кілька запитань про себе, свою роботу, очікування від семінару тощо.

  • Альтернативно, ви можете вибрати вправу-криголам (айсбрейкер), яка заохочує учасників бути творчими, малюючи відповіді або ідеї на онлайн-дошці або, якщо це офлайн, встати і виконати деякі завдання. Перегляньте розділ "Айсбрейкери" (Icebreakers) в Посібнику для фасилітатора ETI для натхнення.

Оцінка ризиків (1 година 15 хвилин)

Вступ

Презентація | 5 хвилин

Інструкції

Дайте коротку вступну презентацію, зосереджуючись на основних моментах:

  • Мислення "Безпека перш за все!" — Слід враховувати безпеку та конфіденційність перед початком проєкту або розслідування/дослідження, і як превентивний і постійний захід, а не у відповідь на кризову ситуацію.

  • Принцип "Не нашкодь" — Завжди плануйте свої дії так, щоб збільшити позитивний вплив і зменшити потенційний негативний вплив на людей, із якими ви працюєте, на питання, які ви розслідуєте, та на самих себе.

Функції, контексти, інструменти та дані

Виконання вправи | 15 хвилин

Інструменти/матеріали

Інструкції

[10 хвилин] Попросіть учасників індивідуально поміркувати про свою роботу та заповнити аркуш, який включає такі розділи:

1. Дії, які ви виконуєте (функції) в рамках своєї роботи. — Щоб спрямувати учасників, ви можете усно поділитися деякими прикладами, такими як: Онлайн-дослідження (дослідження за комп'ютером) Офлайн-дослідження Комунікація: пошта, телефон, онлайн, офлайн Зберігання інформації та даних на пристроях Передача інформації та даних Віддалена співпраця Подорожі: місцеві та через кордони * Проведення інтерв'ю з джерелами, робота з вразливими суб'єктами тощо.

*2. Інструменти / Техніки / Пристрої, які ви використовуєте для виконання цих дій (це можуть бути як онлайн-інструменти/сервіси, так і фізичні пристрої)

*3. Заходи цифрової безпеки та проблеми під час виконання ваших завдань.

[5 хвилин] Підведення підсумків

  • Після закінчення часу попросіть кількох добровольців поділитися тим, що вони написали. Ви можете попросити добровольця з іншою функцією або з тією ж функцією, але іншим контекстом, або попросити когось із конкретною функцією, яку ви хотіли б виділити.

  • Завершіть вправу, підкресливши такі моменти:

    • Дані, які ми збираємо і хочемо захистити, можуть включати особи інших людей, наприклад людей, яких ми опитуємо, жертв зловживань, інформаторів, людей, які працюють у компанії, чиї дії розслідуються, тощо.

    • Тому існує велика відповідальність і обов'язок дбати не лише про себе, але й про інших людей, які стають частиною нашої щоденної роботи і на яких може вплинути наша поведінка.

Виявлення фізичних та цифрових ризиків

Спільна робота | 30 хвилин

Інструменти/матеріали

  • Кімнати для обговорення / простори для групової роботи онлайн або офлайн
  • Спільні файли / цифрова дошка (якщо онлайн) або аркуші паперу та ручки (якщо офлайн)

Інструкції

[25 хвилин]

  • Розділіть учасників на малі групи по 3–5 осіб кожна. Якщо онлайн, створіть цифрову кімнату для обговорення для кожної групи / якщо особисто, виділіть окремий стіл для кожної групи.

  • Кожна група повинна вибрати один випадок із попередньої вправи (функція-контекст-інструменти-дані) і працювати разом протягом 15 хвилин, щоб визначити передбачувані загрози або ризики в цьому випадку / для цього сценарію.

  • Попросіть групи шукати вразливості, пов'язані з методами дослідження, пристроями, програмним забезпеченням, людьми, зберіганням даних, передачею даних тощо.

  • Вони можуть перерахувати свої висновки у спільному файлі / дошці / аркуші паперу (чим більше висновків, тим краще).

  • Заохочуйте учасників намагатися виявляти фізичні та цифрові ризики, а також їх взаємозв'язок — вони не повинні думати про них ізольовано.

  • Після закінчення часу учасники повертаються до основної групи/кімнати.

  • Представник кожної групи потім представляє випадок своєї команди та ризики, які вони визначили. Залежно від кількості груп, можна виділити 2–3 хвилини на презентацію.

[5 хвилин] Підведення підсумків

Підсумуйте вправу, розглянувши такі моменти:

  • Учасники можуть враховувати лише ризики для себе і менше для своїх джерел або інших людей, з якими вони будуть співпрацювати. Заохочуйте їх враховувати всіх кого залучено до процесу.

  • Учасники також можуть потрапити в пастку, думаючи окремо про цифрові та фізичні ризики. Сигналізуйте, що вони тісно пов'язані, і що цифрова загроза може мати фізичні наслідки і навпаки.

  • Наголосіть, що оцінка ризиків та усвідомлення безпеки ніколи не закінчуються, оскільки події неконтрольовані, а люди непередбачувані.

  • Ризик успадковується: ми не самотні в розслідувальній роботі, але наш ризик є ризиком інших людей і навпаки. Це стосується всіх, незалежно від того, чи йдеться про колег, джерела, досліджуваних суб'єктів тощо.

Матриця оцінки ризиків

Презентація | 5 хвилин

Інструкції

  • Зробіть коротку презентацію, пояснюючи, як оцінювати ризики за допомогою матриці загроз.
  • Ви можете навести простий приклад для демонстрації матриці. Наприклад:
Зменшення ризику

Спільна робота | 10 хвилин

Інструменти/матеріали

  • Кімнати для обговорення / простори онлайн або офлайн
  • Ті самі спільні файли / цифрова дошка (якщо онлайн) або аркуші паперу (якщо офлайн), які використовувались раніше

Інструкції

  • Попросіть учасників повернутися до своїх малих груп, з тією ж конфігурацією, що й раніше.

  • На основі ризиків, визначених у попередній груповій вправі, попросіть їх спільно обдумати, як зменшити/знизити ці ризики.

Підведення підсумків

  • Учасники діляться деякими способами зменшення ризику, які вони придумали.

  • Ви можете прокоментувати та додати щось до їхніх ідей.

Безпека

Презентація | 10 хвилин

Інструменти/матеріали

  • Спільна дошка офлайн або онлайн (наприклад, Miro або Mural)

Інструкції

  • Попросіть учасників подумати про слово "безпека" або "захист" і що воно насправді означає для них. Що їм потрібно для того, щоб почуватися в безпеці чи захищеними?

  • На спільній дошці підготуйте три текстові поля або стовпці (по одному для кожного питання нижче) і попросіть учасників поділитися своїми відповідями на одне з таких запитань:

    • Що ви робите щодня, щоб уникнути небезпеки та захистити себе, своє майно, друзів або сім'ю?

    • Згадайте діяльність, яку ви здійснювали і яка була небезпечною. Що ви зробили, щоб залишатися в безпеці?

    • Які ресурси або заходи важливі для того, щоб допомогти вам почуватися безпечно або захищено?

Підведення підсумків

Прокоментуйте те, що було розміщено на дошці, виділивши такі моменти:

  • Холістична безпека включає фізичну, психосоціальну та цифрову безпеку.
  • Безпека стосується не лише цифрових чи фізичних аспектів, але й нашого стану мислення, принципів і загальної поведінки як індивідуально, так і в командах.
  • Безпека є особистою та суб'єктивною, ми визначаємо її для себе.
  • Благополуччя інших і наше власне повинно бути фундаментальним орієнтиром для безпеки.
  • У нас вже є багато наявних тактик і значна стійкість для того, щоб продовжувати нашу роботу, незважаючи на виклики, з якими ми стикаємося.

РЕСУРС:

Цифрова безпека (60 хвилин)

Добре відомий незнайомець

Спільна робота | 10 хвилин

Інструменти/матеріали

  • Кімнати для обговорення / простори для групової роботи онлайн або офлайн
  • Спільні файли / цифрова дошка (якщо онлайн) або аркуші паперу та ручки (якщо офлайн)

Інструкції

  • Використайте гіпотетичний сценарій і скажіть учасникам:

    • "Було знайдено мобільний телефон без нагляду. Він розблокований. Що можна дізнатися про власника мобільного телефону?"

  • Розділіть учасників на менші групи по 3–5 осіб кожна.

  • Завдання кожної групи — спільно обдумати та скласти найдовший список інформації, яку ми можемо дізнатися про цю людину через її пристрій. Попросіть їх також розглянути, як ми можемо знайти цю інформацію, з яких дій пристрою та джерел.

Підведення підсумків

  • Попросіть одну або дві групи представити свій список інформації та можливих джерел.

  • За потреби додайте більше до їхніх списків, наприклад:

    • зовнішність власника через особисті фотографії,
    • чим вони займаються через робочі фотографії або робочий обліковий запис електронної пошти,
    • які їхні уподобання через онлайн-профілі, історію пошуку,
    • майбутні плани через історію пошуку,
    • їхні нещодавні грошові транзакції через документи або електронні листи на пристрої,
    • медичний стан через документи й електронні листи на пристрої,
    • їхнє місцезнаходження через історію місцезнаходження,
    • деталі про можливі відносини через історію електронної пошти або повідомлень і контакти,
    • ...
Критерії вибору інструментів і методів

Презентація | 5 хвилин

Інструкції

Підготуйте та проведіть коротку презентацію, включаючи:

  • Поясніть, що інструменти цифрової безпеки допомагають захистити:

    • Пристрої та дані
    • Комунікацію
    • Мережеві з'єднання
    • Онлайн-облікові записи

  • Окресліть і поясніть сім принципів, які Tactical Tech використовує для оцінки та рекомендації інструментів:

    1. З відкритим вихідним кодом
    2. Перевірені та такі, що пройшли аудит
    3. Зрілі та стабільні з активною спільнотою користувачів і відповідальною спільнотою розробників
    4. Зручні для користувача
    5. Багатомовні з підтримкою локалізації
    6. Багатоплатформні (доступні для Mac, Windows, Linux, Android)
    7. Мають доступну публічну документацію

РЕСУРСИ:

Завдання: Критерії вибору інструментів та методів

Дослідження | 30 хвилин

Інструменти/матеріали

  • Кімнати для обговорення, простори для групової або індивідуальної роботи онлайн або офлайн
  • Спільні або індивідуальні файли / цифрова дошка (якщо онлайн) або аркуші паперу та ручки (якщо офлайн)

Інструкції

  • Розділіть учасників на менші групи по 2–3 особи або навіть індивідуально.

  • Якщо онлайн, розділіть їх у онлайн-кімнати для обговорення або надайте час для проведення власного дослідження.

  • Попросіть учасників витратити 20 хвилин на аналіз обраного ними інструменту (це може бути комунікаційний додаток, хмарний сервіс тощо) на основі вищезгаданих 7 принципів і вирішити, чи відповідає він їхнім потребам, чи викликає занепокоєння щодо безпеки та конфіденційності.

  • Після закінчення часу учасники повертаються до основної кімнати / онлайн-пленарного простору.

  • Представник кожної групи ділиться висновками команди. Якщо дослідження проводилося індивідуально, попросіть двох або трьох учасників представити свої висновки.

Інструменти

Презентація | 5 хвилин

Інструкції

  • Коротко представте деякі інструменти, які учасники можуть використовувати, які забезпечують відносний ступінь безпеки, разом з деякими перевагами та недоліками.

  • Наголосіть, що існують компроміси і поступки при розгляді функцій інструменту, зручності використання (дружності до користувача) та безпеки.

  • Проблеми безпеки можна згрупувати в такі категорії:

    • Дані та пристрої
    • Обмін, надсилання даних
    • Онлайн-безпека в: Облікових записах / Браузерах / Віртуальних приватних мережах (VPN) / Комунікації

РЕСУРС:

Компроміси безпеки

Обговорення | 10 хвилин

Інструкції

Проведіть обговорення з групою, наголошуючи та спрямовуючи їх до розгляду наступних ключових моментів, які можна перелічити на слайдах або дошці:

  • Потрібна гнучкість і здоровий глузд при виборі інструментів і методів для забезпечення безпеки та захисту.

  • Найбезпечніший інструмент не завжди буде доступний для всіх людей, залучених до проєкту або комунікації.

  • Ви можете поставити це запитання учасникам:

    • "Коли вам доводилося використовувати менш безпечний інструмент, щоб виконати роботу?"

  • Зауважте, що повинен бути компроміс між:

    • безпекою (зберігає ваші дані, джерела, вас у безпеці)
    • функціональністю (виконує роботу, яку ви хочете виконати) і
    • зручністю використання (дружність до користувача, кожен у групі може ним користуватися)

  • Пам'ятайте, що безпека — це не лише інструменти. Деякі речі, які варто мати на увазі, думаючи про безпеку:

    • що ви вирішуєте поширювати,
    • як ви спілкуєтесь,
    • на що ви клікаєте (фішингові атаки),
    • які послуги ви обираєте,
    • із ким ви вирішуєте ділитися.

  • Ваші практики можуть спричинити більше ризиків, ніж інструменти, які ви використовуєте.

  • Деякі практики, які допоможуть зберегти ваші облікові дані та дані в безпеці:

    • використовуйте довгі парольні фрази,
    • використовуйте двофакторну аутентифікацію,
    • зберігайте паролі за допомогою менеджерів паролів,
    • забезпечте налаштування інструментів відновлення даних, де це можливо, наприклад додавання електронної пошти для відновлення,
    • резервне копіювання даних,
    • шифрування даних,
    • наскрізне шифрування допомагає гарантувати, що постачальник послуг не може отримати доступ до змісту вашої інформації,
    • будьте в курсі, хто має доступ до ваших даних,
    • оцінюйте інструменти, які ви використовуєте.

Закриття (10 хвилин)

Заключна вправа: Плакат із ключовими ідеями

Виконання вправи | 5 хвилин

Інструменти/матеріали

  • Спільний малювальний планшет / слайд / дошка (онлайн)
  • Дошка / фліпчарт-папір, стікери, маркери (офлайн)

Інструкції

  • Попросіть учасників створити плакат із ключовими ідеями, поділившись своїми відповідями на таке запитання на спільній дошці / малювальному планшеті:

    • "Які ваші основні висновки з сьогоднішнього семінару?"

  • Дайте їм кілька хвилин, щоб написати та/або намалювати свої думки і прочитати думки інших.

Підведення підсумків

  • Виділіть деякі моменти на дошці.
Висновок

Презентація | 5 хвилин

Інструменти/матеріали: Матеріали не потрібні.

Інструкції

  • Завершіть семінар і підсумуйте його зміст.

  • Проведіть швидкий огляд семінару. Кожен учасник має сказати:

    • одну річ, яку вони вважають дуже вдалою на семінарі, та
    • одну річ, яку вони б покращили наступного разу

  • Ви можете заохотити учасників задавати питання або дати деякі фінальні поради.

  • Поділіться контактними даними, якщо це доречно, та будь-якою інформацією щодо подальших дій.

Додаткові ресурси

Зв'яжіться з нами

Будь ласка, зверніться до нас в Exposing the Invisible, якщо ви:

  • маєте будь-які питання щодо цього плану семінару та керівних принципів фасилітації,

  • використовуєте цей план семінару і хочете поділитися відгуками та пропозиціями, які можуть допомогти його покращити,

  • адаптуєте план семінару до конкретного контексту і хочете поділитися результатами з нами,

  • хочете запропонувати нові вправи, поради або приклади, які можна додати до цього семінару,

  • хочете поділитися своїм досвідом і співпрацювати з нами щодо розробки та тестування нових семінарів.

Контакт: eti@tacticaltech.org (GPG Key / fingerprint: BD30 C622 D030 FCF1 38EC C26D DD04 627E 1411 0C02).

Авторство та ліцензування

CC BY-SA 4.0

Цей контент створений проєктом Tactical Tech Exposing the Invisible і ліцензований за ліцензією Creative Commons Attribution-ShareAlike 4.0 International

  • Автори семінару: A. Hayder, Wael Eskandar

  • Інструкційний дизайн: A. Hayder

  • Редакційна робота та контент: Christy Lange, Laura Ranca, Wael Eskandar

  • Графічний дизайн: Yiorgos Bagakis

  • Розробка вебсайту: Laurent Dellere, Saqib Sohail

  • Координація та нагляд за проєктом: Christy Lange, Laura Ranca, Lieke Ploeger, Marek Tuszynski, Safa Ghnaim, Wael Eskandar

Цей ресурс був розроблений в межах Collaborative and Investigative Journalism Initiative (CIJI), що спільно фінансується Європейською Комісією в межах пілотного проєкту: "Підтримка журналістики розслідувань і свободи ЗМІ в ЄС" (DG CONNECT).

Цей текст відображає точку зору автора, і Комісія не несе відповідальності за будь-яке використання інформації, що міститься в ньому.

Вперше опубліковано 19 квітня 2022 р.

Більше про цю тему

Продукт

Tactical Tech at Publix

Зв'язатися

Попередні проекти