Як медійникам вибрати безпечний застосунок або сервіс

Photo by cottonbro from Pexels Photo by cottonbro from Pexels

З розвитком технологій, проникненням інтернету і переходу багатьох процесів в онлайн журналістам часто доводиться стикатися з проблемою вибору того чи іншого інструменту, інтернет-сервісу, застосунку.

Оскільки підходів до розроблення, моделей, розробників, платформ тощо безліч, то не завжди вдається зробити максимально правильний вибір з урахуванням одного з пріоритетів у роботі журналіста – безпеки.

Програми та сервіси постійно змінюватимуться, з'являтимуться нові, але підхід до їхнього правильного вибору можна спростити до декількох пунктів, на які варто обов'язково звертати увагу і враховувати перед тим, як зупинити свій вибір.

Основну увагу варто приділяти месенджерам, поштовим сервісам, хмарному зберіганню файлів, браузерам і всьому тому, що має “безпосередній контакт” із вашими даними та інформацією, з якою ви взаємодієте або якою обмінюєтеся. 

  1. Відкритий код (open source)
    Можна стверджувати, що рішення з відкритим вихідним кодом безпечніші. Все тому, що open source – застосунки й сервіси регулярно і досить активно поліпшуються самими користувачами, які знаходять помилки й вносять пропозиції щодо покращення, особливо стосовно безпеки. Плюс прозорість і доступність коду будь-якому охочому – аргумент на користь того, що в програмі або сервісі немає якихось прихованих функцій (наприклад, зливу даних спецслужбам і так далі). По суті, будь-хто, хто хоч трохи розбирається в програмуванні, зможе перевірити, що і як влаштовано, і в разі виявлення помилки повідомити розробникам ще до виходу програми або її нової версії. Якщо ж знайде якісь “чорні ходи” – розповість іншим користувачам, причому конкуренти із задоволенням допоможуть у поширенні такої інформації, що неминуче спричинить наслідки.
  2. Монетизація
    Дуже важливо розуміти, на що застосунок або сервіс існує. Будь-яка програма або сайт зазнають витрат. Це робота основних програмістів, сервери, техпідтримка, реклама і так далі – сотні чи тисячі доларів щомісяця. Тому якщо ви користуєтеся якимось продуктом, то потрібно розуміти, на які гроші він існує. І це пояснення має бути прийнятним для вас. Користувач може бути покупцем і, наприклад, купити застосунок або оформити щомісячну передплату, і тоді сервіс буде зацікавлений в тому, щоб усе було гаразд, не було жодних витоків даних і користувач не пішов до конкурентів.

    Якщо користувач не “покупець”, тоді, найімовірніше, він “товар”. Якщо ви нічого не платите за користування сервісом, то тоді призначені для користувача дані монетизуються цим самим сервісом, наприклад демонструючи рекламу, і що більше він збирає про вас даних – то більше заробляє.

    Існують і приклади продуктів з мільйонними аудиторіями, за які не потрібно платити і які водночас не містять реклами. Але на що ж їх утримують? І це правильне питання під час вибору будь-якої програми. Існують сервіси, які покривають свої витрати за допомогою збору пожертвувань і грантів. У такому разі вони змушені робити мало не “ідеальний” продукт за всіма параметрами, щоб люди / організації захотіли добровільно його підтримати грошима.
  3. Юрисдикція
    Звертайте увагу, де зареєстрований власник / розробник програми або сервісу і в яких країнах розташовані їхні сервери. Якщо в Європі, де діє один з найсуворіших регламентів про захист персональних даних (GDPR), то це хороший показник, оскільки за порушення регламенту компанію можуть жорстоко покарати. Та й повноваження спецслужб обмежено: їм, щоб запросити в компанії особисту інформацію про клієнтів, потрібно судове вирішення. І навіть якщо таке рішення буде отримане – його можна оскаржити. Тому, якщо сервіс зареєстровано в країні Європейського Союзу, найімовірніше, шанси, що ваша інформація буде в цілості, набагато вище, ніж якщо сервіс із Китаю або Росії. 
  4. Шифрування
    Процес перетворення інформації в такий спосіб, щоб сторонній (зловмисник) у разі отримання до неї доступу не зміг прочитати вміст, називається шифруванням. Тому дуже важливо, щоб сервіс або застосунок підтримували зберігання і передання даних тільки в зашифрованому вигляді, а ключ, який дозволяє розшифровувати цю інформацію, перебував тільки в користувача, якому ця інформація належить або адресована. Такий підхід до зберігання та передання даних багаторазово знижує ризик стороннього доступу до файлів у разі витоку або злому.
  5. Двофакторна автентифікація
    Якщо доступ до того чи іншого сервісу (наприклад, поштової скриньки, месенджера або документів, що зберігаються в хмарі) тільки за паролем, то використовувати його небезпечно. Зараз у зловмисників десятки способів, як дізнатися ваш пароль, – від злитих баз до використання “клавіатурних шпигунів” і фішингових листів. Але ось ті акаунти, які захищені двофакторною автентифікацією, навіть знаючи пароль від них, зламати куди складніше, адже крім пароля (“перший фактор”) зловмиснику буде потрібен ще й код з смс або застосунку-генератора одноразових кодів (“другий фактор”), а отримати його вже значно важче, особливо перебуваючи, наприклад, в іншій країні. Зв'язка пароль + код – набагато сильніше захищає від несанкціонованого доступу, ніж просто встановлений лише один пароль.

Зупиняйте свій вибір на тих сервісах і застосунках, які потрапляють під усі ці критерії. Буде практично ідеально, якщо все, що декларує розробник про свій продукт, підтвердить незалежний аудит.

Якщо говорити про типові повсякденні потреби, то на сьогодні як месенджер вибирайте Signal, пошту – Tutanota, програму для шифрування файлів – VeraCrypt (зашифровані файли можна зберігати майже де завгодно), а сайт 2fa.directory допоможе знайти сервіси, які підтримують двофакторну автентифікацію.

Павло Бєлоусов, Школа цифрової безпеки DSS380

Матеріал підготовлено за підтримки Міжнародного фонду «Відродження» у межах проекту "Мобілізація зусиль для вирішення викликів у медіа-сфері України". Матеріал відображає позицію авторів і не обов’язково збігається з позицією Міжнародного фонду «Відродження».

 
 
Інші матеріали
Фото – Міністерство оборони України
Оцінка і планування ризиківПоради для іноземних журналістів, які планують працювати в зоні ООС
Колаж ІМІ
Оцінка і планування ризиківТехнічне забезпечення журналістівЯке взуття потрібне журналістам для роботи в умовах війни
Photo by SHVETS production from Pexels
Оцінка і планування ризиківПсихологічна (не)стабільність. Як підтримати себе за тривожних часів