теми

Передача та безпечне зберігання даних

Комунікація й обмін даними

Останнє оновлення: липень 2022 року

Щоб прийняти найкраще для вашої організації рішення про спосіб комунікації, важливо розуміти різні типи захисту комунікації, і чому такий захист є важливим. Одним із найважливіших елементів безпеки комунікації є збереження конфіденційності приватних повідомлень, що в сучасну епоху значною мірою забезпечується шифруванням. Без належного шифрування повідомлення, передані в межах організації, можуть побачити супротивники. Внаслідок незахищеної комунікації може бути розкрита конфіденційна або делікатна інформація й повідомлення, паролі чи інші особисті дані та, можуть бути поставлені під загрозу ваші співробітники й організацію залежно від характеру повідомлень і вмісту, яким ви ділитеся.

Безпечна комунікація та громадянське суспільство

Image of political protestors in Belarus

Тисячі демократичних і правозахисних активістів і організацій щодня покладаються на захищені канали зв’язку, щоб зберегти конфіденційність розмов у складних політичних умовах. Без таких методів безпеки конфіденційні повідомлення можуть бути перехоплені та використані владою для дій, націлених проти активістів, і для розгону протестів. Один яскравий і добре задокументований приклад цього стався після виборів у Білорусі 2010 року. Як зазначено в цьому звіті Amnesty International, записи телефонних розмов та інші незашифровані повідомлення були перехоплені урядом і використані в суді проти відомих опозиційних політиків та активістів, багато з яких провели роки у в'язниці. У 2020 році в Білорусі під час чергового сплеску післявиборчих протестів тисячі протестувальників встановили зручні безпечні програми обміну повідомленнями, які були недоступні лише десять років тому, щоб захистити свої конфіденційні комунікації.

Що таке шифрування і чому воно важливо?

Шифрування — це математичний процес, який використовується для шифрування повідомлення або файлу, щоб лише особа чи організація, яка має ключ, могла «розшифрувати» його та прочитати. За відсутності шифрування повідомлення залишаються відкритими для читання потенційними супротивниками, зокрема для вашого постачальника телекомунікаційних або інтернет-послуг (ISP), недружніх урядів або хакерів в інтернеті. У Посібнику із самозахисту шляхом спостереження від Electronic Frontier Foundation надається практичне пояснення (з ілюстраціями) того, що означає шифрування:

Незашифровані повідомлення

Image of no encryption being used for a message in transit

Як видно на зображенні вище, смартфон надсилає зелене незашифроване текстове повідомлення («привіт») на інший смартфон праворуч. Вежа мобільного зв’язку (або, якщо дані надсилаються через інтернет, ваш постачальник послуг інтернету, або інтернет-провайдер) передає повідомлення на сервери компанії. Звідти воно переходить через мережу на іншу вежу мобільного зв’язку, що може бачити незашифроване повідомлення «привіт», і, нарешті, направляється до місця призначення. Важливо зазначити, що за відсутності шифрування всі, хто бере участь у передачі повідомлення, і будь-хто, хто може крадькома зазирнути у нього під час проходження, може прочитати його вміст. Це може не мати великого значення, якщо ви говорите лише «привіт»; проблема виникає, коли ви повідомляєте щось приватне чи конфіденційне і не хочете, щоб оператор телекомунікацій, інтернет-провайдер, недружній уряд чи будь-який інший супротивник побачили це повідомлення. Через це важливо уникати використання інструментів, що не мають функції шифрування, для надсилання конфіденційних повідомлень (а в ідеалі взагалі будь-яких повідомлень). Зауважте, що деякі з найпопулярніших методів зв’язку, як-от SMS і телефонні дзвінки, фактично функціонують без жодного шифрування (як на зображенні вище).

Є два способи зашифрувати дані під час передачі: шифрування транспортного рівня і наскрізне шифрування. Важливо знати тип шифрування, що підтримується постачальником послуг зв’язку, оскільки ваша організація має прийняти рішення про застосування більш безпечних методів і систем зв’язку. Такі відмінності добре описані Посібнику із самозахисту шляхом спостереження, дані з якого знову наведено тут в адаптованій формі.

Шифрування транспортного рівня, також відоме як захист транспортного рівня (TLS), захищає повідомлення під час їх переміщення з вашого пристрою на сервери програми/служби обміну повідомленнями, а звідти — на пристрій одержувача. Це захищає їх від цікавих очей хакерів, які сидять у вашій мережі або у мережі інтернет-провайдера чи постачальника телекомунікаційних послуг. Однак під час передачі постачальник послуг обміну повідомленнями/електронної пошти, веб-сайт, який ви переглядаєте, або програма, яку ви використовуєте, можуть бачити незашифровані копії ваших повідомлень. Оскільки ваші повідомлення можуть переглядатися (і часто зберігаються на) серверах компанії, їм загрожує ризик запитів правоохоронних органів або крадіжки, якщо сервери компанії зламано.

Шифрування транспортного рівня; 

Image of transport layer encryption being used for a message

На зображенні вище показано приклад шифрування транспортного рівня. Смартфон ліворуч надсилає зелене незашифроване повідомлення: «Привіт!». Це повідомлення шифрується, а потім передається на вежу мобільного зв’язку. Під час передачі сервери компанії можуть розшифрувати повідомлення, прочитати вміст, вирішити, куди його надіслати, повторно зашифрувати та відправити на наступну вежу мобільного зв’язку до місця призначення. Наприкінці інший смартфон отримує зашифроване повідомлення та розшифровує його, щоб користувач міг прочитати: «Привіт!».

Наскрізне шифрування захищає повідомлення під час передачі на всьому шляху від відправника до одержувача. Воно гарантує, що інформація перетворюється на секретне повідомлення її початковим відправником (на першому «кінці») і декодується лише кінцевим одержувачем (на другому «кінці»). Ніхто, включно з програмою чи службою зв’язку, якою ви користуєтеся, не може «прослуховувати» та дізнатися вміст ваших повідомлень.

Наскрізне шифрування

Image of end-to-end encryption being used for a message

На зображенні вище показано приклад наскрізного шифрування. Смартфон ліворуч надсилає зелене незашифроване повідомлення: «Привіт!». Це повідомлення шифрується, передається на вежу мобільного зв’язку, а потім на сервери програми/сервісу, які не можуть прочитати вміст, але передадуть секретне повідомлення до місця призначення. Наприкінці інший смартфон отримує зашифроване повідомлення та розшифровує його, щоб користувач міг прочитати: «Привіт!». На відміну від шифрування транспортного рівня, ваш інтернет-провайдер і служба обміну повідомленнями не можуть розшифрувати повідомлення. Лише кінцеві точки (оригінальні пристрої, що надсилають і отримують зашифровані повідомлення) мають ключі для розшифровки та читання повідомлення.

Який тип шифрування нам потрібен?

Коли ви вирішуєте, потрібне вашій організації шифрування транспортного рівня чи наскрізне шифрування для ваших комунікацій (чи якась комбінація обох для різних систем і видів діяльності), головне питання, яке ви повинні поставити, стосується довіри. Чи довіряєте ви додатку або службі, якими користуєтеся? Чи довіряєте ви їхній технічній інфраструктурі? Чи непокоїть вас можливість того, що недружній уряд може змусити компанію передати ваші повідомлення, – і, якщо так, чи довіряєте ви політиці компанії щодо захисту від запитів правоохоронних органів?

Якщо ви відповіли «ні» на будь-яке з цих запитань, то вам потрібне наскрізне шифрування. Якщо ви відповісте на них «так», тоді служби, яка підтримує лише шифрування транспортного рівня, може бути достатньо, але, як правило, краще використовувати служби, які підтримують наскрізне шифрування, за можливості.

Під час обміну повідомленнями з групами пам’ятайте, що безпека ваших повідомлень знаходиться на тому ж рівні, що і безпека всіх, хто отримує повідомлення. Крім ретельного вибору безпечних програм і систем, важливо, щоб усі у групі дотримувався інших найкращих методів захисту облікових записів і пристроїв. Для витоку змісту цілого групового чату чи дзвінка достатньо лише однієї особи, яка не дотримується правил безпеки, або одного зараженого пристрою.

Які інструменти обміну повідомленнями з наскрізним шифруванням ми повинні використовувати (станом на 2022 рік)?

Якщо вам потрібно використовувати наскрізне шифрування або ви просто хочете застосувати найкращі методи незалежно від контексту загроз вашої організації, ось кілька прикладів надійних служб, які, станом на 2022 рік, пропонують обмін повідомленнями та дзвінки з наскрізним шифруванням. Цей розділ Довідника регулярно оновлюватиметься в інтернеті, але зауважте, що технології безпечного обміну повідомленнями швидко змінюються, тому ці рекомендації можуть бути неактуальними на момент, коли ви читаєте цей розділ. Майте на увазі, що ваші комунікації безпечні лише в тій мірі, в якій безпечний сам пристрій. Тому, окрім впровадження безпечних методів обміну повідомленнями, важливо застосовувати найкращі методі, описані в розділі «Захищені пристрої» цього Довідника.

Текстові повідомлення (індивідуальні або групові)

  • Signal
  • WhatsApp (тільки зі спеціальними конфігураціями налаштувань, описаними нижче)

Аудіо та відеодзвінки:

  • Signal (до 40 осіб)
  • WhatsApp (до 32 осіб на аудіо, вісім на відео)

Файлообмінник:

  • Signal
  • Keybase / Keybase Teams
  • OnionShare + додаток для обміну повідомленнями з наскрізним шифруванням, як-от Signal

Що таке метадані і чи варто за них хвилюватися?

З ким розмовляєте ви та ваші співробітники, а також коли і де ви розмовляєте з ними часто є такою само секретною інформацією, як і те, про що ви говорите. Важливо пам’ятати, що наскрізне шифрування захищає лише вміст («що») ваших повідомлень. І тут у гру вступають метадані. У Посібнику із самозахисту шляхом спостереження від EFF надається огляд метаданих і пояснюється, чому вони важливі для організацій (включно з ілюстрацією того, як виглядають метадані):

Метадані часто описуються як усе, крім змісту ваших повідомлень. Метадані можна розглялати як цифровий еквівалент конверта. Подібно до того, як конверт містить інформацію про відправника, одержувача та адресата повідомлення, метадані також містять таку інформацію. Метадані — це інформація про цифрові повідомлення, які ви надсилаєте й отримуєте. Метадані включають таку інформацію:

  • з ким ви спілкуєтеся;
  • рядок теми ваших електронних листів;
  • тривалість ваших розмов;
  • час, коли відбулася розмова;
  • ваше місцезнаходження під час спілкування.

Навіть мала частка метаданих може розповісти багато про діяльність вашої організації. Давайте подивимося, наскільки метадані насправді можуть бути відкритими для хакерів, державних установ і компаній, які їх збирають.

  • Вони знатимуть, що ви подзвонили журналісту і розмовляли з ним протягом години, перш ніж той журналіст опублікував розповідь із анонімною цитатою. Однак вони не знатимуть, про що ви говорили.
  • Вони знатимуть, що кілька співробітників вашої організації надіслали повідомлення відомому місцевому спеціалісту з питань цифрової безпеки. Однак тема повідомлень залишиться таємницею.
  • Вони знатимуть, що ви отримали електронний лист від лабораторії перевірки на COVID, потім зателефонували своєму лікарю, а потім відвідали веб-сайт Всесвітньої організації охорони здоров’я протягом тієї ж години. Однак вони не знатимуть, що було в електронному листі або про що ви говорили по телефону.
  • Вони знатимуть, що ви отримали електронний лист від місцевої правозахисної групи з темою «Скажіть уряду: припиніть зловживати владою!». Але вміст електронного листа не буде видимий для них.

Метадані не захищені шифруванням, яке надає більшість служб обміну повідомленнями.. Наприклад, якщо ви надсилаєте повідомлення через WhatsApp, майте на увазі, що, незважаючи на те, що вміст вашого повідомлення зашифровано наскрізно, інші можуть знати, кому ви надсилаєте повідомлення, як часто й, у разі телефонних дзвінків, як довго. Як наслідок, ви повинні пам’ятати про ризики (за наявності), якщо певні супротивники дізнаються, з ким спілкується ваша організація, коли ви з ними спілкувалися, а також (у випадку електронної пошти) загальну тему повідомлень вашої організації.

Однією з причин того, чому Signal настільки настійно рекомендується, це те, що крім забезпечення наскрізного шифрування, у ньому компанія запровадила функції та взяла на себе зобов’язання зменшити кількість метаданих, що записуються та зберігаються в ньому. Наприклад, функція Sealed Sender у Signal шифрує метадані про те, хто з ким розмовляє, так що Signal знає лише одержувача повідомлення, але не відправника. За замовчуванням ця функція працює лише під час спілкування з наявними контактами чи профілями (людьми), з якими ви вже спілкувалися або яких ви зберегли у своєму списку контактів. Однак ви можете ввімкнути для параметра «Sealed Sender» значення «Дозволити від будь-кого», якщо для вас важливо видалити такі метадані з усіх розмов у Signal, навіть із тих, що були з невідомими вам людьми.

А як щодо електронної пошти?

Більшість постачальників послуг електронної пошти, як-от Gmail, Microsoft Outlook і Yahoo Mail, використовують шифрування транспортного рівня. Тому якщо ви маєте надсилати конфіденційний вміст електронною поштою та хвилюєтеся, що ваш постачальник послуг електронної пошти може бути зобов’язаний за законом надавати інформацію про ваші повідомлення уряду чи іншому супротивнику, ви можете розглянути можливість використання електронної пошти з наскрізним шифруванням. Однак майте на увазі, що навіть параметри електронної пошти з наскрізним шифруванням не оптимальні з точки зору безпеки, наприклад, вони не шифрують рядки теми електронних листів і не захищають метадані. Якщо вам потрібно повідомити дуже секретну інформацію, електронна пошта не найкращий варіант. Натомість оберіть варіанти безпечного обміну повідомленнями, наприклад, через Signal.

Якщо ваша організація продовжує використовувати електронну пошту, важливо ввести єдину систему для всієї організації. Це допоможе обмежити поширені ризики, які виникають, коли співробітники використовують особисті адреси електронної пошти для своєї роботи, наприклад, слабкий захист облікових записів. Надавши співробітникам облікові записи електронної пошти, створені організацією, ви можете застосувати передові методи, як-от надійні паролі та 2FA, для будь-яких облікових записів, якими керує ваша організація. Якщо, за аналізом, проведеним вами вище, вашій електронній пошті потрібне наскрізне шифрування, як Protonmail, так і Tutanota пропонують плани для організацій. Якщо шифрування транспортного рівня підходить для електронної пошти вашої організації, можуть стати у нагоді такі варіанти, як Google Workspace (Gmail) або Microsoft 365 (Outlook).

Чи можна справді довіряти WhatsApp?

WhatsApp є популярним додатком для безпечного обміну повідомленнями, і може бути хорошим варіантом, враховуючи його розповсюдженість. Деякі люди стурбовані тим, що він належить і контролюється Facebook, що працює над інтеграцією його з іншими своїми системами. Також непокоїть кількість метаданих (тобто інформації про те, з ким і коли ви спілкуєтеся), які збирає WhatsApp. Якщо ви вирішите використовувати WhatsApp як безпечний варіант обміну повідомленнями, обов’язково прочитайте наведений вище розділ про метадані. Є також кілька параметрів, щодо яких слід переконатися, що вони правильно налаштовані. Найважливіше: обов’язково вимкніть хмарне резервне копіювання або, принаймні, увімкніть нову функцію резервного копіювання з наскрізним шифруванням WhatsApp, із використанням 64-значного ключа шифрування або довгого, випадкового й унікального пароля, збереженого у безпечному місці (наприклад, у вашому менеджері паролів). Також обов’язково ввімкніть показ сповіщень безпеки та перевірте коди безпеки. Прості вказівки щодо налаштування цих параметрів для телефонів Android знаходяться тут, а для iPhone — тут. Якщо ваші співробітники *і ті, з ким ви всі спілкуєтеся*, неправильно налаштують ці параметри, не слід вважати WhatsApp хорошим варіантом для конфіденційних комунікацій, які потребують наскрізного шифрування. Signal все ще залишається найкращим варіантом для таких потреб із наскрізним шифруванням повідомлень, враховуючи його налаштування безпеки за замовчуванням і захист метаданих.

А як щодо текстових повідомлень?

Звичайні текстові повідомлення зовсім незахищені (стандартні SMS фактично незашифровані), і їх слід уникати для всього, що не призначено для загального відома. Хоча повідомлення iPhone-to-iPhone від Apple (відомі як iMessages) мають наскрізне шифрування, якщо в розмові бере участь не iPhone, повідомлення не будуть захищені. Найкраще перестрахуватися й уникати текстових повідомлень щодо будь-чого секретного, приватного чи конфіденційного.

Чому Telegram, Facebook Messenger або Viber не рекомендуються для безпечних чатів?

Деякі служби, як-от Facebook Messenger і Telegram, пропонують наскрізне шифрування, лише якщо ви спеціально його ввімкнули (і лише для чатів один на один), тому вони не є хорошими варіантами для конфіденційних або приватних повідомлень, особливо для організації. Не покладайтеся на ці інструменти, якщо вам потрібно використовувати наскрізне шифрування, тому що досить легко забути змінити стандартні, менш безпечні налаштування. Viber стверджує, що пропонує наскрізне шифрування, але не надав свій код для перевірки сторонніми дослідниками безпеки. Код Telegram також не був наданий для публічного аудиту. В результаті багато експертів побоюються, що шифрування Viber (або «секретні чати» Telegram) може не відповідати стандартам і, отже, бути непридатним для спілкування, що вимагає справжнього наскрізного шифрування.

Наші партнери та колеги використовують інші програми для обміну повідомленнями. Як ми можемо переконати їх завантажити нову програму для спілкування з нами?

Іноді існує компроміс між безпекою та зручністю, але варто докласти трохи додаткових зусиль для конфіденційності комунікацій. Будьте хорошим прикладом для осіб, із якими ви контактуєте. Якщо вам доводиться використовувати інші,  менш безпечні системи, будьте уважні до того, що ви говорите. Уникайте обговорення секретних тем. Деякі організації можуть використовувати одну систему для загального спілкування в чаті, а іншу для обговорення з керівництвом найбільш конфіденційних питань. Звичайно, найпростіше, якщо все постійно автоматично шифрується - нема про що пам'ятати чи думати.

На щастя, програми з наскрізним шифруванням, такі як Signal, стають дедалі популярнішими та зручнішими, не кажучи вже про те, що їх локалізовано десятками мов для глобального використання. Якщо вашим партнерам або іншим контактним особам потрібна допомога з переходом на комунікацію з наскрізним шифруванням, як-от Signal, знайдіть час, щоб пояснити їм, чому так важливо належним чином захищати ваші комунікації. Коли всі розуміють важливість, кілька хвилин, необхідних для завантаження нової програми, і кілька днів, які можуть знадобитися, щоб звикнути до неї, не будуть здаватися великою проблемою.

Чи існують інші налаштування додатків із наскрізним шифруванням, про які нам слід знати?

У додатку Signal перевірка з підтвердженням кодів безпеки (які вони називаються номерами безпеки) також важлива. Щоб переглянути номер безпеки та підтвердити його в Signal, ви можете відкрити свій чат із контактом, торкнутися імені у верхній частині екрана та прокрутити вниз, щоб натиснути «Переглянути номер безпеки». Якщо ваш номер безпеки збігається з вашим контактом, ви можете позначити його як «підтвердженого» на тому самому екрані. Особливо важливо звернути увагу на ці номери безпеки та перевірити свої контакти, якщо ви отримаєте сповіщення в чаті про те, що ваш номер безпеки з даним контактом змінився. Якщо вам або іншому персоналу потрібна допомога в конфугірації цих налаштувань, Signal сам надає корисні інструкції.

Якщо ви використовуєте Signal, що вважається найкращим зручним варіантом для безпечного обміну повідомленнями та дзвінків один на один, переконайтеся, що встановили сильний пін-код. Використовуйте принаймні шість цифр, які нелегко вгадати, наприклад, дату народження. 

Для отримання додаткових порад щодо правильного налаштування Signal і WhatsApp зверніться до довідників із використання інструментів для обох додатків, розроблених компанією EFF у Посібнику із самозахисту шляхом спостереження.

Використання додатків для чатів у реальному світі

Щоб обмежити шкоду в разі втрати, викрадення чи конфіскації телефону, найкраще мінімізувати історію повідомлень, які зберігаються на вашому телефоні. Один із простих способів зробити це — увімкнути «зникнення повідомлень» для групових чатів вашої організації та заохочувати персонал зробити це також у своїх особистих чатах.

У Signal та інших популярних програмах обміну повідомленнями можна встановити таймер, щоб повідомлення зникали через певну кількість хвилин або годин після прочитання. Цей параметр можна налаштувати для окремого чату чи групи. Для більшості встановлення періоду зникнення в один тиждень дає достатньо часу, щоб знайти необхідну інформацію, не зберігаючи повідомлення, які вам ніколи не знадобляться, але які потенційно можуть бути використані проти вас у майбутньому. Пам'ятайте, що якщо у вас чогось немає, це неможливо вкрасти.

Щоб увімкнути зникнення повідомлень у Signal, відкрийте чат, торкніться імені людини/групи, з якою ви спілкуєтеся, натисніть зникаючі повідомлення, виберіть таймер і натисніть OK. Подібна настройка є у WhatsApp.

У більш серйозних ситуаціях, коли необхідно негайно видалити повідомлення, можливо, через те, що телефон було вкрадено або ви надіслали повідомлення не тій особі, зверніть увагу, що Signal дозволяє видалити повідомлення для групи або окремої особи з усіх телефонів протягом трьох годин після надсилання шляхом простого видалення його з чату. Telegram залишається популярним у багатьох країнах, незважаючи на його обмеження шифрування, завдяки подібній функції, що дозволяє користувачам видаляти повідомлення з усіх пристроїв без обмежень.

Зважаючи на це, якщо ваша організація турбується про безпеку співробітників через повідомлення, які можна побачити на їхніх телефонах, то використання зникаючих повідомлень через короткий період часу, ймовірно, є найпростішим і найбільш надійним варіантом.

А як щодо групових відеодзвінків? Чи є варіанти наскрізного шифрування?

Зі збільшенням віддаленої роботи важливо мати безпечний варіант для великих групових відеодзвінків вашої організації. На жаль, наразі немає універсальних варіантів, які покривають всі потреби: зручні для користувача, підтримують велику кількість учасників і мають функції співпраці, а також мають увімкнене наскрізне шифрування за замовчуванням.

Для груп до 40 осіб настійно рекомендується використовувати наскрізне шифрування Signal. До групових відеодзвінків у Signal можна приєднатися зі смартфона або за допомогою настільного додатка Signal на комп’ютері, що дозволяє ділитися екраном. Однак майте на увазі, що лише ваші контакти, які вже використовують Signal, можуть бути додані до групи у Signal.

Якщо ви шукаєте інші варіанти, існує платформа, що нещодавно додала налаштування наскрізного шифрування Jitsi Meet. Jitsi Meet — це вебрішення для аудіо- та відеоконференцій, що може використовуватися для великої аудиторії (до 100 осіб) і не потребує завантаження програми чи спеціального програмного забезпечення. Щоб організувати зустріч на Jitsi Meet, ви можете перейти на meet.jit.si, ввести код зустрічі та поділитися цим посиланням (через безпечний канал, наприклад Signal) із запрошеними учасниками. Щоб використовувати наскрізне шифрування, перегляньте інструкції від Jitsi. Зауважте, що всі окремі користувачі повинні самі ввімкнути наскрізне шифрування, щоб воно працювало. Використовуючи Jitsi, обов’язково створюйте випадкові назви кімнат для нарад і надійні паролі, щоб захистити свої дзвінки.

Якщо ця опція не підходить для вашої організації, ви можете скористатися популярним комерційним варіантом, таким як Webex або Zoom, із увімкненим наскрізним шифруванням. Webex давно допускає наскрізне шифрування; однак цей параметр не ввімкнено за замовчуванням. Учасники повинні завантажити Webex, щоб приєднатися до вашої зустрічі. Щоб отримати опцію наскрізного шифрування для свого облікового запису Webex, ви повинні відкрити запит у служби підтримки Webex і слідувати цим інструкціям для налаштування наскрізного шифрування. Лише організатор зустрічі повинен увімкнути наскрізне шифрування. Після цього вся зустріч буде наскрізь зашифрована. Якщо ви використовуєте Webex для безпечних групових зустрічей і семінарів, обов’язково застосовуйте надійні паролі для дзвінків.

Після кількох місяців негативних відгуків компанія Zoom розробила опцію наскрізного шифрування для своїх дзвінків. Однак цей параметр не ввімкнено за замовчуванням, обліковий запис організатора виклику має бути пов’язаний із номером телефону, і шифрування можливе лише тоді, коли всі учасники приєднуються через програму Zoom для комп’ютера чи мобільного пристрою, а не набирають номер через телефон. Оскільки легко випадково неправильно налаштувати цю конфігурацію, не слід покладатися на наскрізне шифрування у Zoom. Однак, якщо потрібне наскрізне шифрування і Zoom є вашим єдиним вибором, ви можете дотримуватися інструкцій Zoom, щоб налаштувати його. Не забудьте перевірити виклик перед його початком, щоб переконатися, що він справді наскрізь зашифрований. Для цього клацніть зелений замок у верхньому лівому куті екрана Zoom і побачите «наскрізне шифрування» у списку поруч із налаштуванням шифрування. Ви також повинні встановити надійний пароль для будь-якої зустрічі Zoom.

Крім згаданих вище інструментів, ця блок-схема, розроблена Frontline Defenders, висвітлює деякі варіанти відеодзвінків і конференцій, які можуть бути корисними для вашої організації залежно від контексту ризику, з яким вона стикається.

Однак варто зазначити, що деякі популярні функції вищезазначених інструментів працюють лише з шифруванням транспортного рівня. Наприклад, увімкнення наскрізного шифрування в Zoom вимикає кімнати підгруп, можливості опитування та запис у хмарі. У Jitsi Meet кімнати підгруп можуть вимкнути функцію наскрізного шифрування, що призведе до небажаного зниження рівню безпеки.

Що, якщо нам насправді не потрібне наскрізне шифрування для всіх наших комунікацій?

Якщо наскрізне шифрування не потрібне для всіх комунікацій вашої організації на основі вашої оцінки ризику, ви можете розглянути можливість використання програм, захищених шифруванням транспортного рівня. Для використання цього виду шифрування потрібно, щоб ви довіряли постачальнику послуг, наприклад Google для Gmail, Microsoft для Outlook/Exchange або Facebook для Messenger, оскільки вони (і всі, з ким вони можуть бути змушені поділитися інформацією) можуть бачити/чути ваші комунікації. Знову ж таки, найкращі варіанти залежатимуть від вашої моделі загрози (наприклад, якщо ви не довіряєте Google або якщо уряд США є вашим супротивником, Gmail не підходить), але ось кілька популярних і загалом надійних варіантів:

 

Електронна пошта

  • Gmail (через Google Workspace)
  • Outlook (через Office 365)
    • Не розміщуйте власний сервер Microsoft Exchange для електронної пошти вашої організації. Якщо ви зараз це робите, слід перейти на Office 365.

Текстові повідомлення (індивідуальні або групові)

  • Google Hangouts
  • Slack
  • Microsoft Teams
  • Mattermost
  • Line
  • KaKao Talk
  • Telegram

Групові конференції, аудіо- та відеодзвінки

  • Jitsi Meet
  • Google Meet
  • Microsoft Teams
  • Webex
  • GotoMeeting
  • Zoom

Файлообмінник:

  • Google Drive
  • Microsoft Sharepoint
  • Dropbox
  • Slack

Примітка щодо обміну файлами

Окрім безпечного обміну повідомленнями, безпечний обмін файлами, ймовірно, є важливою частиною плану безпеки вашої організації. Більшість параметрів обміну файлами вбудовані в програми або до служб обміну повідомленнями, якими ви, можливо, вже користуєтеся. Наприклад, обмін файлами через Signal є чудовим варіантом, якщо потрібне наскрізне шифрування. Якщо шифрування транспортного рівня (TLS) є достатнім, використання Google Диску або Microsoft SharePoint може бути хорошим варіантом для вашої організації. Не забудьте правильно налаштувати параметри спільного доступу, щоб лише авторизовані співробітники мали доступ до певного документа чи папки, і переконайтеся, що ці служби підключено до організаційних (не особистих) облікових записів електронної пошти співробітників. За можливості забороніть ділитися конфіденційними файлами через вкладення електронної пошти або фізично через USB-накопичувачі. Використання у вашій організації таких пристроїв, як USB-накопичувачі, значно підвищує ймовірність встановлення шкідливих програм або крадіжки даних, а використання електронної пошти чи інших форм вкладень послаблює захист вашої організації від фішингових атак.

 

Організаційні альтернативи обміну файлами

Якщо ви шукаєте безпечний варіант обміну файлами для вашої організації, який не вбудовано безпосередньо в платформу обміну повідомленнями (або, можливо, ви стикаєтеся з обмеженнями розміру файлу під час передачі великих документів), розгляньте варіант OnionShare. OnionShare — це інструмент із відкритим кодом, що дозволяє безпечно й анонімно ділитися файлами будь-якого розміру. Відправник встановлює додаток OnionShare (доступний на комп’ютерах Mac, Windows і Linux), завантажує файли, якими хоче поділитися, і генерує унікальне посилання. Це посилання, що можна відкрити лише у вебоглядачі Tor, потім можна передати через будь-який безпечний канал обміну повідомленнями (наприклад, Signal) призначеному одержувачу. Одержувач може відкрити посилання у вебоглядачі Tor і завантажити файл(-и) на свій комп’ютер. Зауважте, що файли настільки безпечні, наскільки безпечним і метод, за допомогою якого ви ділитеся посиланням. Про роботу Tor буде пояснено більш детально в наступному розділі «Вищий рівень» Довідника, але для цілей передачі файлів у вашій організації пам’ятайте про OnionShare як про безпечну альтернативу обміну великими файлами на USB-накопичувачах в офісі, якщо тільки у вас немає надійного постачальника хмарного сховища.


Якщо ваша організація вже інвестувала в менеджер паролів, як описано в розділі про паролі цього Довідника, і вибрала обліковий запис преміум-класу або груповий обліковий запис Bitwarden, Bitwarden Send — це ще один варіант безпечного обміну файлами. Ця функція дозволяє користувачам створювати безпечні посилання для обміну зашифрованими файлами через будь-який безпечний канал обміну повідомленнями (наприклад, Signal). Розмір файлу обмежено 100 МБ, але Bitwarden Send дозволяє встановити дату закінчення терміну дії посилань, захистити паролем доступ до спільних файлів і обмежити кількість відкривань вашого посилання.

Безпечна комунікація й обмін даними

  • Вимагайте використання надійних служб обміну повідомленнями з наскрізним шифруванням для конфіденційних повідомлень вашої організації (в ідеалі, для всіх комунікацій).
    • Знайдіть час, щоб пояснити персоналу та стороннім партнерам, чому безпечний зв’язок такий важливий; це сприятиме успішному втіленню вашого плану.
  • Встановіть політику щодо того, як довго ви зберігатимете повідомлення та коли/чи організація використовуватиме «зникаючі» повідомлення.
  • Переконайтеся, що встановлено належні налаштування для програм захищеного зв’язку, зокрема:
    • Переконайтеся, що всі співробітники звертають увагу на сповіщення безпеки та, якщо ви використовуєте WhatsApp, не створюють резервні копії чатів.
    • Якщо ви використовуєте програму, де наскрізне шифрування не ввімкнено за замовчуванням (як-от Zoom або Webex), переконайтеся, що відповідні користувачі ввімкнули належні налаштування на початку будь-якого дзвінка чи зустрічі.
  • Використовуйте для своєї організації хмарні служби електронної пошти, як-от Office 365 або Gmail.
    • Не намагайтеся встановити власний сервер електронної пошти.
    • Не дозволяйте співробітникам використовувати особисті облікові записи електронної пошти для робочих цілей.
  • Часто нагадуйте організації про найкращі методи безпеки, пов’язані з обміном повідомленнями та метаданими у групі.
    • Слідкуйте за тим, хто входить до групи повідомлень, чатів і ланцюжків електронних листів.