Вступ

Для кого призначений цей Довідник?

Цей Довідник було написано з простою метою: допомогти вашій громадській організації розробити зрозумілий план кібербезпеки, який можна реалізувати. Оскільки світ все більше переходить в інтернет, кібербезпека — це не просто модне слово, а важлива концепція успіху організації та безпеки її співробітників. Особливо для громадських організацій, які працюють у сферах демократії, захисту громадських інтересів, вимоги підзвітності від уряду та відстоювання прав людини, безпека інформації (як онлайн, так і поза ним) є проблемою, що вимагає зосередженої уваги, пильності та інвестицій.

Ваша організація може опиниться – якщо вже не стала – об’єктом кібератаки. Ми не хочемо викликати хибну тривогу: це реальність навіть для тих організаціій, які не вважають себе конкретними цілями.

У середньому за рік Center for Strategic and International Studies, який веде поточний список випадків, які називаються «значними кіберінцидентами», каталогізує сотні серйозних кібератак, багато з яких націлені на десятки, якщо не сотні організацій одночасно. Окрім таких зареєстрованих атак, ймовірно, щороку відбуваються сотні інших менших атак, що залишаються непоміченими або про які не повідомляється. Багато з них спрямовані на громадські організації, що працюють для підтримки демократії, вимоги підзвітності від уряду та відстоювання прав людини. Організації, що представляють жінок й інші маргіналізовані групи, часто стають цілями спрямованої атаки.

Такі кібератаки мають серйозні наслідки. Незалежно від того, чи хочуть зловмисники вкрасти ваші гроші, стишити ваш голос, порушити діяльність вашої організації, зашкодити вашій репутації чи навіть викрасти інформацію, яка може призвести до психологічної чи фізичної шкоди ваших партнерів або персоналу, такі погрози слід сприймати серйозно.

Хороша новина: вам не потрібно ставати програмістом або технічним спеціалістом, щоб захистити себе та свою організацію від поширених загроз. Однак слід бути готовими інвестувати зусилля, енергію та час у розробку та впровадження надійного організаційного плану безпеки. 

Якщо ви ніколи не думали про кібербезпеку у своїй організації, не мали часу приділити уваги цьому питанню або знаєте деякі основні аспекти, але вважаєте, що ваша організація може підвищити рівень своєї кібербезпеки, цей Довідник для вас Незалежно від того, звідки ви, цей Довідник має на меті надати вашій організації важливу інформацію, необхідну для створення надійного плану безпеки. Це буде план, що виходить за рамки простого викладення слів на папері й дає змогу втілити найкращі практики в життя.


Що являє собою план безпеки і навіщо він потрібен моїй організації?

План безпеки — це комплект письмових політик, процедур і вказівок, узгоджених вашою організацією для досягнення рівня безпеки, який ви та ваша команда вважаєте доцільним для захисту ваших співробітників, партнерів і даних.

Добре складений план організаційної безпеки, що регулярно оновлюється, може захистити вас і підвищити продуктивність, забезпечуючи душевний спокій, необхідний для зосередження на важливій повсякденній роботі вашої організації. Без продуманого комплексного плану дуже легко не помітити деяких типів загроз, надто зосередитись на одному ризику або ігнорувати кібербезпеку, доки не настане криза.

Коли ви починаєте розробляти план безпеки, необхідно поставити собі кілька важливих питань у ході процесу, що називається оцінка ризику. Відповіді на ці запитання допоможуть вашій організації зрозуміти унікальні загрози, з якими ви стикаєтеся, і дозволять вам відсторонено і всебічно подумати про те, що саме вам потрібно захищати та від кого це слід захищати. Навчені оцінювачі за допомогою таких систем, як SAFETAG від для перевірки концепції можуть допомогти вашій організації пройти такий процес. Якщо ви зможете отримати доступ до такого рівня професійних знань, це того варте, але навіть якщо ви не можете пройти повну оцінку, вам слід зустрітися з представниками своєї організації, щоб ретельно розглянути такі ключові питання.

1

Які активи має ваша організація і що ви хочете захистити? 

Ви можете почати відповідати на ці запитання шляхом створення каталогу всіх активів вашої організації. Така інформація, як повідомлення, електронні листи, контакти, документи, календарі та місця розташування, є можливими активами. Активами можуть бути телефони, комп’ютери й інші пристрої. Люди, зв’язки та стосунки також можуть бути активами. Зробіть перелік ваших активів і спробуйте каталогізувати їх за їхньою важливістю для організації, де ви їх зберігаєте (можливо, у кількох цифрових чи фізичних місцях), і що заважає іншим отримати до них доступ, пошкодити чи порушити їх роботу. Майте на увазі, що не всі активи є однаково важливими. Якщо деякі дані організації є загальнодоступними або ви вже опублікували певну інформацію, вони не є секретами, які потрібно захищати. 

2

Хто ваші супротивники, які їхні можливості та мотивація?

«Супротивник» — це термін, що зазвичай використовується в організаційній безпеці. Простою мовою, супротивники — це суб’єкти (індивідууми чи групи), які зацікавлені в завданні цільової шкоди вашій організації, перешкоджанні вашій роботі та отриманні доступу або знищенні вашої інформації. Це ваші вороги. Приклади потенційних супротивників можуть включати фінансових шахраїв, конкурентів, місцеві чи національні органи влади або уряд, а також ідеологічно чи політично вмотивованих хакерів. Важливо скласти список своїх супротивників і критично подумати про те, хто може захотіти негативно вплинути на вашу організацію та співробітників. Хоча зовнішніх діячів (наприклад, іноземний уряд чи конкретну політичну групу) легко уявити супротивниками, пам’ятайте, що супротивниками можуть бути також люди, яких ви знаєте, наприклад незадоволені співробітники, колишні колеги, члени сім’ї чи партнери, які не підтримують вашу організацію. Різні противники створюють різні загрози та мають різні ресурси й можливості, щоб порушити ваші операції, отримати доступ або знищити вашу інформацію. Наприклад, уряди часто мають багато грошей і потужні можливості, зокрема відключення інтернету та використання дорогих технологій стеження; мобільні мережі та інтернет-провайдери часто мають доступ до записів дзвінків та історії перегляду вебсторінок; кваліфіковані хакери в публічних мережах Wi-Fi мають можливість перехоплювати погано захищені комунікації або фінансові операції. Ви навіть можете стати самі собі супротивником, наприклад, якщо випадково видалите важливі файли або надішлете приватні повідомлення не тій людині.

Мотиви супротивників, ймовірно, відрізнятимуться, як і їхні можливості, інтереси та стратегії. Чи зацікавлені вони в дискредитації вашої організації? Можливо, вони мають намір заглушити ваш голос? А може вони вважають вашу організацію конкурентом і хочуть отримати над вами перевагу? Важливо розуміти мотивацію супротивника, оскільки це може допомогти вашій організації краще оцінити загрози, які він може становити.

3

З якими загрозами стикається ваша організація? Наскільки вони вірогідні та який вплив вони можуть мати?

Коли ви визначите можливі загрози, у вас, швидше за все, з’явиться довгий перелік, який може видатися надмірним. У вас може виникнути відчуття, що будь-які зусилля будуть марними, або ви не будете знати, з чого почати. Щоб ваша організація могла зробити наступні продуктивні кроки, слід проаналізувати кожну загрозу на основі двох факторів: ймовірність того, що загроза виникне; і наслідок такого виникнення.

Щоб оцінити ймовірність загрози (як, наприклад, «низьку, середню або високу», залежно від того, чи певна подія відбудеться малоймовірно, може відбутися або трапляється часто), можна використати інформацію, відому вам, про потенціал і мотивацію ваших супротивників, аналіз минулих інцидентів безпеки, досвід інших подібних організацій і, звісно, наявність існуючих стратегій зменшення ризику, запроваджених вашою організацією.

Щоб оцінити наслідки загрози, подумайте, що трапиться з організацією, якщо загроза справді виникне. Поставте такі запитання: «Якої шкоди, фізичної та психічної, завдасть загроза нам як організації та її співробітникам як людям?», «Наскільки тривалим буде ефект?», «Чи створить це інші шкідливі ситуації?» та «Як вона завадить здатності досягати цілей нашої організації зараз і в майбутньому?» Відповідаючи на ці запитання, подумайте, чи дія загрози буле слабкою, помірною або сильною.

В якості допоміжного засобу під час оцінки ризику можна використати робочий аркуш, наприклад ось цей, розроблений Electronic Frontier Foundation. Майте на увазі, що інформація, яку ви створюєте в рамках цього процесу (наприклад, список ваших супротивників і загрози, які вони представляють), сама по собі може бути конфіденційною, тому важливо зберігати її захищеною.

Після того, як ви зробили перелік загроз і класифікували їх за ймовірністю та впливом, можна переходити до складання більш ґрунтовного плану дій. Якщо ви зосередитесь на тих загрозах, які найімовірніше виникнуть ТА які матимуть значні негативні наслідки, ви спрямуєте свої обмежені ресурси для найбільш ефективного досягнення мети. Мета полягає в тому, щоб мінімізувати ризики, наскільки це можливо. Але насправді ніхто – навіть уряд і компанії з величезними ресурсами – не може повністю усунути ризик. І це нормально: усунувши найбільші загрози, ви зробите багато, щоб захистити себе, своїх колег і свою організацію.

Створіть план безпеки