Этика данных, или Безопасность источников информации

0
866
Этика данных, или Безопасность источников информации
Автор фото: Mikael Blomkvist Источник фото: https://www.pexels.com/ru-ru/photo/6476254/

Знаете ли вы, как выглядит список самых честных и этичных профессий, по версии Forbes? На первом месте врачи, дальше следуют учителя, полицейские, hr-менеджеры, бухгалтера, журналисты, банкиры, риэлторы, юристы. И даже если ваша специальность не попала в этот список, вы точно знаете, что этичным бизнес делает стремление решить чужие проблемы. Но одного желания помочь мало — нужно защищать источники получения информации, особенно если вы оперируете важными данными.

Как обеспечить безопасность переписки?

Как обеспечить безопасность переписки
Автор фото: Alexander Suhorucov Источник фото: https://www.pexels.com/ru-ru/photo/6457521/

Предположим, вы работаете журналистом и, на основании анонимных писем, проводите расследования. Однажды вы получаете письмо о случаях коррупции, разбираетесь в произошедшем, публикуете материал. Тем временем, на предприятии, где зафиксирован инцидент, по IP-адресу легко обнаружили, кто написал письмо и сообщил о проблеме. Сотрудника увольняют… а все из-за того, что журнал, с которым он связался, не отнесся с должным вниманием к вопросу защиты источников информации.

Или другой пример. Политик готовится к выборам и получает письмо, в котором говорится о том, что его оппонент планирует воспользоваться персональными данными для того, чтобы навредить нашему герою. Политик принимает меры, ему удается предотвратить инцидент. Но он не установил специальную форму для получения информации анонимно, и оппонент быстро вычисляет человека, помешавшего злым планам сбыться.

Чтобы этого не случилось, многие компании, такие как The New Yorker, Forbes, The Washington Post, The Guardian, BuzzFeed News, The Wall Street Journal, используют SecureDrop в качестве безопасного электронного ящика.

Приватная почта работает так. Осведомитель загружает документы на адрес .onion с помощью браузера Tor. В свою очередь, компания, в которую направлено уведомление, может ознакомиться с этими файлами на сервере SecureDrop. Так как документы зашифрованы PGP-ключом, их можно открыть, но не редактировать. Для внесения изменений, как правило, пользуются ноутбуком с операционной системой TAILS.

Несмотря на очевидные преимущества этого метода, некоторые организации избегают установки SecureDrop из-за сложностей при инсталляции.  И выбирают более простые сервисы.

В сфере HR-менеджмента защита информации невозможна без юридического аспекта. Так, согласно статье 6 (пункт 5, часть 1) Федерального закона РФ от 27 июля 2006 года №152-ФЗ «О персональных данных». Так, если компания, при устройстве на работу и заключении трудового договора, хочет узнать ФИО и паспортные данные будущего сотрудника, согласие на обработку персональных данных не требуется. Но, предположим, фирма сообщает указанные сведения организаторам международной конференции. Этот случай уже никак не связан с исполнением трудового договора, а значит, сотрудник должен разрешить обработку персональных данных. Особое внимание следует обратить на случаи, когда требуется письменное согласие на обработку. Так происходит, когда HR-менеджер проводит операции с биометрическими данными, оперирует личными сведениями типа вероисповедания. политических или философских взглядов. Кроме того, если HR-менеджер передает частную информацию о сотрудниках в страны, не подписавшие Конвенцию о защите физических лиц при автоматизированной обработке персональных данных (СЕД №108).

Что еще нужно знать о защите источников информации?

Когда речь идет об этике в Интернет-коммуникации, важно соблюдать принципы кибербезопасности. Так, Wi-Fi сети, которые находятся в общественных местах и являются открытыми, скорее всего, собирают персональные данные, чтобы их потом перепродать или использовать для таргетирования. Поэтому, подключившись к публичному Wi-Fi, лучше не сообщать в переписке ценную информацию, если планируете сделать это анонимно. С другой стороны, в инструкции ExpressVPN объясняется, что с помощью VPN можно изменить IP-адрес, по которому и определяют личность пользователя, тем самым обеспечив анонимность и конфиденциальность. Кроме того, общаясь на важные темы, убедитесь, что ваше соединение защищено криптографическим протоколом TLS.

Кроме того, важно понимать, что большинство мессенджеров не являются полностью приватными. И даже приложения, которые заявляют о наличии надежного шифрования (например, Signal или Telegram) все же запрашивают номер телефона при регистрации. А это значит, что вы уже сообщили контактные данные разработчикам мессенджера, что исключает абсолютную приватность. Ведь по номеру телефона легко установить IP-адрес пользователя.

Поэтому многие компании, которые беспокоятся о безопасности своих клиентов, обмениваются информацией, создав аккаунт на XMPP/Jabber-сервисе. Считается, что два только что созданных Jabber-аккаунта могут обмениваться уведомлениями через браузер Tor с помощью специального шифрования Off-The-Record (OTR), которое не оставляет никаких следов онлайн-коммуникации. Такую переписку сложно обнаружить, даже через мета-данные.  И хотя сам по себе протокол XMPP не шифрует чаты, этот инструмент можно использовать с OTR-протоколом, чтобы обеспечить тотальную приватность. Кстати, многие популярные приложения для общения посредством XMPP предлагают функцию Off-The-Record по умолчанию.

HR-менеджеры также заботятся о безопасности персональных данных клиентов и сотрудников компании.

Разработайте официальные документы, определяющие, какую сенситивную информацию защищает фирма. Не забудьте указать, что компания собирает данные только для легальных бизнес-целей. Попросите сотрудников сообщить вам, если они заподозрят, что кто-то получил несанкционированный доступ к ценной информации.

Внедрите административный, технический и физический контроль. Электронные записи должны быть зашифрованы, защищены надежным рандомным паролем.

Проведите тренинги по кибербезопасности среди всех сотрудников, которые обрабатывают персональные данные. Расскажите, как вовремя заметить и предотвратить несанкционированный доступ к конфиденциальной информации, как восстановить систему в случае утечки данных.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here