Останні кілька років кілька речей про робочі процеси багатьох журналістів залишаються постійними: вони розмовляють зі своїми колегами щодо слабкої, контактних джерел за допомогою поєднання телефонів, електронної пошти, збільшення та обміну повідомленнями та подають свої історії в документах Google.
Але зараз, коли федеральний уряд посилює свої напади на американську журналістику-відкликання фінансування для державних ЗМІ, подання позов до основних новин та успішно тиснуть мовників, щоб потягнути господарі поза повітрям-настав час, щоб задати питання: наскільки безпечні інструменти, які ми приймаємо як належне?
Безпека новин можна широко розбити на два тематичні відра: безпека та конфіденційність. Девіс Ерін Андерсон, старший тренер з цифрової безпеки в Фонді “Свобода преси”, сказав мені, що охорона по суті посилається на хакалість інструментів, які ви використовуєте, в той час як конфіденційність визначає, наскільки легко постачальники послуг можуть отримати доступ до ваших даних. Багато поширених бізнес -інструментів, як правило, є безпечними, але не приватними; Наприклад, Google Drive є безпечним-Андерсон каже, що Google “має найкращих людей з безпеки, про які я можу придумати”,-але документи в Google Drive не зашифровані в кінці, і Google може передати їх владі, якщо він подається з запитом правоохоронних органів.
“У чомусь було набагато простіше для журналістів ще в 80 -х та 90 -х роках, перш ніж всі ці хмарні платформи існували”, – сказала Мелодія Крамер, менеджер продуктів Propublica, який працює над інструментами залучення та краудсорсингу. “Ви б помістили речі в документ Microsoft Word, поділіться цим у своєму [physical] Newsroom, і ніщо не живе в центрі обробки даних чи в іншому просторі ». Найчутливіші історії можна було б написати на комп’ютерах без мережевих з'єднань та обговорювати та редагувати лише в офісі.
Офіси, звичайно, поставляються з усіма власними проблемами безпеки – хакери можуть спробувати отримати доступ до місцевих серверів або бездротових кінцевих точок з вірусами, а інформаційні зали з офісами повинні думати про фізичну безпеку, а також на цифрову.
“Це серія компромісів, всі вони недосконалі”, – сказав Бен Вердмуллер, старший директор з технологій Propublica. “Профіль ризику значно змінився останнім часом, але багато речей, про які ми говоримо, як ризики для журналістів, були можливі дуже давно”.
Почніть з основ
“Якби у мене не було грошей, керував новинкою і хотів покращити безпеку, я б переконався, що всі перебувають у менеджері паролів, встановлюють багатофакторну аутентифікацію і перебувають у сигналі”,-сказав мені Вердмуллер. Хакери крадуть мільярди паролів на рік, а слабкі паролі – це найпростіший момент вступу до будь -якої організації. Менеджери паролів виводять розумові роботи з створення сильних паролів, а найкращі зараз підтримують паскей. Багатофакторна автентифікація забезпечує другий рівень безпеки, так що хакер із викраденим паролем не може отримати доступ до ваших облікових записів без маркера аутентифікації.
Тим часом сигнал – це, мабуть, найвідоміший із зашифрованих додатків для обміну повідомленнями. Додаток є зашифрованим кінцем до кінця, а це означає, що ніхто, крім відправника та призначених приймачів-навіть сигналу-не може читати повідомлення, надіслані на ньому. Хоча інші програми для обміну повідомленнями, як-от WhatsApp, також зашифровані в кінці, політика конфіденційності їхніх материнських компаній (WhatsApp належить Meta, материнській компанії Facebook та Instagram) робить їх менш приватними, ніж сигнал.
Як продемонстрував Signalgate, є ще одне основне, про що слід пам’ятати: привілеї доступу. “Переконайтесь, що у вас є гарне уявлення про те, що видно, хто є досить ключовим”, – сказав Андерсон. Якщо у вас є груповий текст, переконайтеся, що члени-це те, хто ви маєте намір (вбудована перевірка контакту сигналу корисна для цього). Якщо ви працюєте з людьми поза вашою організацією, перевірте, які документи вони роблять, і не потрібен доступ, і переконайтеся, що ви можете відкликати доступ, коли ви більше не працюєте разом. Якщо ви використовуєте зашифровану службу електронної пошти, переконайтеся, що хто ви електронною поштою також використовує послугу, яка підтримує це шифрування.
“Що насправді важливо, це те, що джерела знають, куди вас дістатись таким чином, що допомагає їм залишатися захищеними, навіть якщо вони не завжди думають про це”, – сказав Андерсон. “Якщо, скажімо, винищувач досягає вас через Gmail, це [unencrypted] Зв'язок було зроблено. Тому переконайтеся, що ви доступні на декількох зашифрованих каналах ».
Встановити політику та норми
Використання таких інструментів, як Slack та Google Drive, “не повинно бути всім або нічого пропозицією”, – сказав мені Андерсон. Ключовим моментом є встановлення правил навколо, коли ці інструменти використовуються, і коли робота повинна бути переміщена до інших, більш безпечних інструментів. Наприклад, Slack чудово підходить для оновлень у всій команді, але не для чутливих розмов про анонімні джерела. З'ясування, коли розмови повинні переходити до більш безпечного каналу, як -от сигнал, є важливою частиною головоломки безпеки.
Політика та норми будуть змінюватися залежно від команди. Наприклад, стіл культури публікації матиме різні потреби, ніж спортивні чи слідчі столи публікації. Створіть документи на борту, щоб усі знали, як і коли використовувати безпечні інструменти, та встановити практику безпеки та конфіденційності з фрілансерами на самому початку ваших стосунків з ними.
Наявність цих політик може допомогти вам продовжувати користуватися інструментами, до яких звикли, зберігаючи безпеку. Наприклад, якщо ви працюєте над історією з анонімним пошуком, ви можете добре писати та редагувати в документах Google, оскільки саме це ви будете представляти світові, коли історія буде опублікована – до тих пір, поки ви зберігаєте інформацію, яка може виявити особу джерела, як стенограми інтерв'ю або записи, у більш безпечному місці.
Подумайте про альтернативні інструменти та де вони базуються
“Шифрування та підвищення безпеки часто мають збільшення витрат”, – сказав Крамер. Slack та Google Drive пропонують підприємства з більш високою безпекою своїх продуктів, які пропонують форму шифрування, але вони можуть бути надмірно дорогими для менших інформаційних залів, а також поставляються до компромісів: Slack, наприклад, може втратити підтримку деяких інтеграцій додатків або можливість співпрацювати з людьми з інших організацій в одному робочому просторі.
Ні Google, ні Slack пропонують шифрування в кінці; Їх пропозиції зашифровані в транзиті та в спокої, що є лише частковим шифруванням. Андерсон не довіряє жодній компанії захищати дані новин; Вона вказує, що Слак, зрештою, є абревіатурою для “журналу пошуку всіх комунікацій та знань”. Те саме стосується команд Microsoft, які пропонують дзвінки, що застосовуються до кінця до кінця, але в іншому випадку також частково шифрують дані. Натомість Андерсон рекомендує знайти альтернативи, які пропонують шифрування в кінці та розміщують свої сервери за межами Сполучених Штатів-в ідеалі, як Швейцарія, де закон забороняє компаніям обмінюватися даними з іноземними правоохоронними органами.
Однією з альтернативи Google Drive є Proton Drive, від тієї ж компанії, яка робить безпечну службу електронної пошти Proton Mail. Proton Drive, як і Proton Mail, за замовчуванням за замовчуванням, а сервери компанії розміщуються в Швейцарії. Хоча Proton не пропонує такого ж набору інструментів, що і Google Workspaces (він, наприклад, не має програмного забезпечення для проведення презентацій або електронних таблиць), у нього є вбудований текстовий процесор, який працює так само, як Google Docs; Ця історія була написана та відредагована в Proton Drive, перш ніж ми перевели її до CMS Nieman Lab.
Інші альтернативи включають Tresorit, який насправді є частиною швейцарського посту (і тому підлягає тому ж швейцарському захисту, що і Proton Drive), і NextCloud, який пропонує безпечні рішення для самостійного розміщення для організацій, які прагнуть провести власні хмарні сервери. Це особливо корисно для організацій, які намагаються використовувати такі послуги, як Securedrop, що вимагає налаштування сервера. Якщо розетка все-таки вирішить пройти маршрут власного розміщення, Андерсон каже: “Знаючи, з ким ви маєте справу, і яка їх політика навколо повістки є дійсно важливим”. І, зазначає Вердмуллер, базування серверів за межами США також не є магічним виправленням: Propublica консультується зі своїми адвокатами, коли розглядає нові послуги, щоб переконатися, що використання їх не призведе до іноземних законів, які можуть, скажімо, відкрити його до судових позовів за межами США, або примусить його редагувати чи видалити міжнародні історії.
Слак і команди трохи складніше замінити. Сигнал чудово підходить для прямих обміну повідомленнями або невеликих груп, але не налаштований для комунікації в цілому, як є Slack та команди. Існують альтернативи в розробці, як-от матриця та тихий, але також не є зручними для користувачів або готовими до використання в масштабі; Самі розробники тихо пишуть, що додаток все ще не проводило аудиту безпеки, і тому не слід використовувати “в ситуаціях, коли безпека чи конфіденційність є критичними”. Знову ж таки, тут грають політика та норми.
Нарешті, якщо ваша інформаційна кімната використовує інструменти AI, подумайте, як вони можуть вплинути на вашу безпеку. Незважаючи на те, що деякі моделі можна запускати локально, багато сучасних інструментів AI надсилають дані постачальнику послуг для обробки – і що дані можуть зберігатися та використовувати для подальшого навчання. “Якщо ви використовуєте AI з конфіденційною інформацією, ви просто пробули отвір через свою інформаційну безпеку”, – сказав Вердмуллер.
Держава безпеки новин постійно розвивається; Ми плануємо продовжувати охоплювати це, коли все змінюється. Це аж ніяк не вичерпний документ, і там більше ресурсів; Наприклад, у Фонді «Свобода преси» є посібник із захисту джерел з корисними ресурсами для забезпечення безпеки джерел. Нарешті, Крамер та Вердмуллер сказали, що новинки можуть і повинні допомогти один одному; Якщо ви працюєте в інформаційній кімнаті, яка намагається встановити власну практику безпеки і хочете отримати поради з розетки, яка ставить безпеку в основі, ви можете дістатися до Крамера за сигналом у Melk.93.
АДОБНИЙ АКТОР