Изображение: Кэтрин Вирджиния Вы хотите опротестовать дрянную репутацию вашей компании в отношении сексуальных домогательств? Вы думаете о создании профсоюзов? Вот Руководство для материнских плат по безопасной организации труда.Прежде чем даже подумать о том, что вам следует и чего не следует делать, или какие технологии вам следует или не следует использовать, спросите себя: знаете ли вы свою компанию?
Другими словами, есть ли у вашей компании история подавления профсоюзов, антирабочей политики или общей недружелюбия по отношению к работникам, объединяющим или выражающим озабоченность? Или, с другой стороны, исторически разрешалось, чтобы работники отстаивали свои права? Невозможно предвидеть будущее, но общее представление о том, с чем вы сталкиваетесь, является основой того, что называют профессионалом в области кибербезопасности. моделирование угроз . Это основа любого хорошего плана операционной безопасности или OPSEC.
В рамках этих усилий было бы неплохо выяснить, на каком месте стоят ваши коллеги. Как выразились рабочие, организующие в Microsoft: познакомьтесь со своими коллегами-организаторами!
Если бы мы могли сократить это руководство одним предложением, это было бы «Избегайте инфраструктуры компании». Под этим мы подразумеваем компьютеры, телефоны, принтеры, программное обеспечение для чатов и электронную почту. Но также избегайте обсуждения трудовых действий в физических местах, таких как конференц-залы, кафетерии или баскетбольные площадки.
Это может показаться трудным, но использование инфраструктуры компании для организации рискованно и может предупредить руководство о вашей предстоящей организационной работе, открытом письме, забастовке или других трудовых действиях. Маловероятно, что ваша компания активно отслеживает интернет-трафик или отслеживает компьютеры в режиме реального времени на предмет каких-либо разговоров о создании профсоюзов или организации каких-либо трудовых акций. Но никаких гарантий нет.
Это самый простой способ для вашей компании следить за вами. Вы должны предполагать, что ИТ и другие руководители имеют доступ к вашей корпоративной электронной почте. И даже если они не могут читать его каждый день, они, вероятно, смогут прочесать его постфактум. Поэтому избегайте использования корпоративной электронной почты любой ценой. Недавно Google уволил сотрудников, которые в некоторых случаях получали доступ корпоративные календари что компания сочла необычным.
Каждое рабочее действие, вероятно, следует начинать со сбора личной контактной информации работников, такой как личный адрес электронной почты и номер мобильного телефона. Используйте их для общения.
НЕ ИСПОЛЬЗУЙТЕ КОМПЬЮТЕРЫ ИЛИ ДРУГИЕ УСТРОЙСТВА КОМПАНИИ
Как предупреждал Холмс, у большинства компаний есть способ получить доступ к рабочим ноутбукам и, возможно, даже к их корпоративным телефонам. Поэтому старайтесь избегать их использования. Использование персонального компьютера в корпоративной сети Wi-Fi не так опасно, но по возможности избегайте этого и подключайтесь из дома.
Сотрудники, участвующие в организации в Amazon, рекомендуют хранить на рабочем компьютере все закрытые организационные документы и разговоры.
Если вы держитесь подальше от инфраструктуры вашей компании, вы уже сделали большую часть того, что вам нужно, чтобы обезопасить свою организационную деятельность. Но на всякий случай старайтесь избегать Slack или других чат-сервисов, которые не зашифрованы и не дают вам большого контроля над тем, какие данные сохраняются. Компании имеют возможность читать архивы Slack, в том числе личные сообщения. Также стоит упомянуть, что по умолчанию платные учетные записи Slack хранят сообщения на неопределенный срок.
Альтернативные приложения для группового чата, такие как Keybase и Wire, не только защищают ваши сообщения в пути, но и позволяют настроить самоуничтожение сообщений по прошествии определенного времени. Это помогает замести следы.
Полезное напоминание о конфиденциальности от автоматического подсказочного бота Slack.
Тщательно размещенная утечка информации или информация для прессы, предупреждающая журналистов о вашем стремлении к объединению в профсоюзы или коллективных действиях, может помочь вашему делу. Если вы собираетесь просочиться в прессу, познакомься с тем, что означают термины «для записи», «не для записи» и «в фоновом режиме».
Если вы обращаетесь к журналисту или разговариваете с ним, то, что вы ему говорите, по умолчанию записывается. Это означает, что журналист может цитировать и использовать эту информацию и связывать ее с вашим именем. «Не для записи» означает, что журналист может располагать этой информацией для себя, но не может опубликовать ее, не подтвердив ее другим источником, и они не могут приписать ее вам. Однако им разрешено взять эту информацию и попытаться убедить кого-нибудь предоставить ее официально. «На заднем плане» означает разные вещи для разных людей - часто это означает, что репортер может использовать информацию в своей статье, но не приписывать ее вам. Другие люди используют его для обозначения «можно цитировать анонимно». Лучше всего обсудить это с репортером, прежде чем делиться информацией.
Вы можете обсудить обмен информацией анонимно или анонимное интервью с репортером. В Motherboard мы предоставляем источникам анонимность, если их обращение к нам может подвергнуть их физической или профессиональной опасности. Мы требуем, чтобы наши репортеры рассказывали читателям, почему мы предоставляем анонимность источника; если источник может быть уволен с работы за разговор с нами, мы часто предоставляем анонимность. Мы будем знать личность источника - чаще всего эта информация нужна нам, чтобы быть уверенным в том, что мы разговариваем с кем-то, кто может знать о рассматриваемой проблеме, - но мы не будем публиковать или иным образом раскрывать, кто этот человек является.
Лучше быть ясным с репортером перед вы делитесь чем-либо о том, как вы хотите использовать эту информацию - если вы говорите что-то «в протоколе», вы не можете задним числом исключить это из записи. (Это сделано для того, чтобы кто-то не смог отказаться от информации, которая, по его словам, отвечает общественным интересам, но передумать). Эти условия должны быть согласованы обеими сторонами, поэтому не обращайтесь к группе репортеров с информацией, которой вы хотите поделиться «не для записи», если эти репортеры еще не согласились не для записи с вами.
Часто сотрудники хотят поделиться с прессой внутренними документами, электронными письмами, служебными записками или другими материалами компании. Это можно сделать несколькими способами. Самый простой - сделать снимок экрана вашего компьютера камерой на вашем личном телефоне и поделиться полученными изображениями в виде исчезающих сообщений в Signal. Затем удалите изображение со своего телефона и, возможно, номер журналиста из ваших контактов и истории сообщений. Вы также можете использовать SecureDrop. Если для вас важна анонимность, не пересылайте журналистам электронные письма компании, которые вы собираетесь передать, если вы чувствуете, что вас могут за это уволить.
Все это может показаться многообещающим, но многие из тактик, описанных в этом руководстве, с практикой становятся второстепенными. Также рекомендуется применять общие передовые методы кибербезопасности. Для получения дополнительной информации вы можете ознакомиться с Руководством по материнской плате, чтобы избежать взлома.
Подпишитесь на наш подкаст о кибербезопасности, КИБЕР .