Вы, наверное, знаете, что нужно включить двухфакторную аутентификацию и использовать менеджер паролей. Но знаете ли вы? Все ли в вашем отделе новостей?
Журналисты часто должны быть видны в Интернете для своей работы. Однако такая видимость сопряжена с личными и институциональными рисками - от взлома до домогательств. Отчет Tow Center, опубликованный сегодня, показал, что многие новостные организации не предоставляют обучение, ресурсы или стимулы для защиты журналистов, источников, внутренней информации и репутации организации.
В докладе кандидата наук Анненбергской школы Дженнифер Р. Хенриксен обнаружила множество финансовых, культурных и профессиональных причин, по которым в новостных редакциях царит жалкое положение дел с культурой безопасности:
Культура информационной безопасности во многих новостных редакциях зарождается по таким причинам, как продолжающиеся финансовые кризисы и трудовая нестабильность в журналистике, что может ограничить выделение ресурсов на информационную безопасность. Более того, журналисты не любят принимать меры безопасности, которые могут замедлить их репортажи на и без того нестабильных рабочих местах, а осведомленность о бесчисленных рисках безопасности для журналистов и новостных организаций ограничена... Ньюсрумы - это организации, которые, в зависимости от размера, финансового состояния, этики и структуры управления, могут страдать как от бюрократической инерции, так и от традиционных властных структур, которые ограничивают перемены. Но более мелкие организации с меньшей бюрократией, как правило, имеют меньше ресурсов для внедрения практики и политики, связанных с безопасностью.
Такие новостные организации, как Wired, BuzzFeed, The New York Times и The Intercept - которые один из интервьюеров охарактеризовал как "в основном рожденные паранойей и мыслями о массовом наблюдении" - предприняли шаги к созданию культуры безопасности. (Еще в 2017 году лаборатория "Open Lab" BuzzFeed в сотрудничестве с OpenNews создала "The Field Guide to Security Training in the Newsroom" ("Полевой инструктаж по безопасности в редакции новостей").
Однако во многих других отделах новостей то, что Хенрихсен называет "чемпионами по безопасности" - это единственные голоса, которые говорят вслух.
Журналисты также привносят знания в области информационной безопасности в редакцию из любопытства и убежденности в том, что методы обеспечения информационной безопасности важны для них, чтобы получать сюжеты и выполнять свою работу. Эти защитники безопасности, которые случайно становятся тренерами, работают, чтобы поддержать коллег и убедить их в необходимости применения более безопасных методов, посредством неформальных бесед, обедов с коричневыми мешками и тренингов на индивидуальном уровне, за рабочим столом и в редакции новостных редакций.
Журналисты, любопытные по своей природе, могут быть готовы протестировать инструменты без поощрения. (Наша собственная Лаура Азард Оуэн играла с SecureDrop, чтобы узнать, как легко утечка в ProPublica). В отчете указывается, что некоторые подгруппы журналистов - например, репортеры-расследователи или те, кто работает в сфере кибербезопасности, - похоже, с большей вероятностью примут меры безопасности.
Однако в отчете также говорится о том, что некоторые журналисты страдают от менталитета "безопасность в неясной обстановке", который отражает их убежденность в том, что, "поскольку они не работают над чем-то "деликатным", они практически не рискуют подвергнуться цифровым атакам".
Есть и географический элемент. В докладе говорится о большей осведомленности о методах обеспечения безопасности в районах высокой концентрации новостных организаций, включая "коридор Асела", чем в других частях страны.
Некоторые новостные редакции поручают своим ИТ-отделам базовую подготовку по вопросам безопасности - знакомы ли им эти "ужасные двухчасовые тренинги "Как использовать Outlook"? - но они не всегда заканчиваются. Один из интервьюеров сказал:
"Всем приходилось ходить на эти ужасные двухчасовые тренинги "Как использовать перспективу", а потом... больше никогда не учились пользоваться электронной почтой... Мы назначаем людей ответственными за большой объем информации, будь то CMS, или они управляют правками в Документах Google, или они используют Dropbox для управления файлами или что-то в этом роде, но мы используем эти сторонние организации, мы собираем вещи вместе, и нам действительно нужно знать о риске".
Нормы отдела новостей об использовании таких платформ, как Slack, могут увеличить количество уязвимостей безопасности, если журналисты используют их, не понимая, как информация передается или хранится.
Другие нормы - такие, как правила, которыми дорожат как журналисты, так и редакторы, - могут помешать усилиям по обеспечению безопасности, которые замедляют публикацию информации. Один из интервьюеров рассказал о разговоре о таком приложении, как Сигнал:
"Так что вы должны объяснить это вашему редактору". Типа: "О, я еще не поговорил с ними [с источником], потому что они все еще устанавливают приложение". Они такие: "Какое приложение? Что ты делаешь?"... Тебе нужно купить и довериться своему редактору."
Хенриксен признает, что журналистское мастерство и безопасность не всегда естественны. Помимо скорости, возникает напряженность в отношении видимости, проверки и удобства использования.
Журналисты могут попытаться защитить себя от преследований в сети, ограничивая каналы коммуникации, такие как прямые сообщения (DM) в "Твиттере", однако, тем самым, они также сокращают количество способов, которыми потенциальные источники могут с ними общаться. За последние два года все больше новостных организаций приняли анонимную платформу SecureDrop, но из-за ее анонимного характера журналистам может быть сложно проверить полученную с ее помощью информацию....
Другой журналист и тренер по цифровой безопасности [сказал Хенрихсену]: "У меня никогда не было никого, кто бы говорил: "Я умру на холме, если не подпишусь на двухфакторную аутентификацию", например, но у меня определенно были люди, которые говорили: "Это громоздко, это кропотливо; мне это не нравится", но в конце концов... это то, что значит заниматься журналистикой в технике - в онлайн-мире. Пришло время положить пишущие машинки и зажечь VPN, выйти и делать свою работу".
В докладе подробно рассказывается о том, как стремительный, но шаткий характер журналистики побуждает отдельных журналистов пользоваться своими личными учетными записями и устройствами и подключаться к wifi, где бы они ни находились.
Хотя многие из интервьюируемых Хенрихсена, похоже, знали, что они работают не по стандартам золотой безопасности, ряд не мог себе представить, что их новостные редакции в ближайшем будущем будут уделять этому вопросу первоочередное внимание. "Есть так много других вещей, которые имеют приоритет. Например, если бизнес-модель не работает, то безопасность на самом деле не является проблемой". Вы должны быть в состоянии платить людям", - сказал один журналист, который работает в местных новостях. Другой журналист, с которым проводились интервью, отметил, что новостные редакции урезают такие важные роли, как копировальные аппараты, и задался вопросом о том, как выделение ресурсов на культуру безопасности соотносится с "голыми костями принятия решений", которые, как они видели, происходят вокруг них.
Хенриксен взял интервью у репортера, который отметил, что высшее руководство в целом не проявляет особого интереса к технологиям безопасности.
Руководству есть о чем задуматься, и это необязательно в повседневной работе, и думать о том, как объединяются эти технологии. Они думают о вещах более высокого уровня. Трудно найти баланс между тем, о чем они думают, и тем, о чем мы думаем, и тем, как эти вещи сочетаются.
Один из тренеров по цифровой безопасности сказал, что это одна из причин, по которой он проводит семинары о том, что журналисты могут делать как личности. "Мы хотим дать им то, что они могут сразу же забрать с собой домой", - отметил он.
Полный раздел рекомендаций о том, как руководители новостных редакций могут сформировать культуру безопасности и "сделать так, чтобы безопасность соответствовала журналистике", стоит прочитать. В конце Хенрихсен приводит список шагов, которые должны предпринять новостные организации как минимум. (Подсказка: Вам понадобится менеджер паролей).