Минимальные стандарты цифровой безопасности в активистском коллективе — боль, знакомая многим. Их сложно обсуждать, о них сложно договориться. И еще сложнее их придерживаться. Все эти сложности усиливаются важностью подобных стандартов, ведь участник группы, не позаботившийся о своей цифровой безопасности, может подставить остальных. Достаточно неаккуратности одного сотрудника, чтобы создать состав преступления для всех в организации, а возможно, и за ее пределами. Но есть и хорошие новости: проекты могут защищать себя изнутри с помощью такого инструмента, как «политика безопасности».
Меня зовут Алексей Сидоренко, и в новой серии цикла «Руководство по руководству» я опишу те инструменты, которые помогают Теплице системно решать системные проблемы. Кому-то эти статьи могут показаться скучными, но я верю в наших читательниц и читателей и убежден, что вопросами организационного развития интересуюсь не только я.
Политика безопасности — основные элементы
Термин «политика безопасности» (далее — ПБ), как правило, используется в двух значениях. Во-первых, это система правил и практик, которая принимается сотрудниками как обязательная. Во-вторых, это документ, описывающий систему правил и практик по безопасности.
Если вы работаете в организации (как и в прошлой статье про «календарный план», я использую понятие «организация» синонимично понятиям «инициатива», «проект», «сообщество»), то сразу советую подходить к ПБ как к системе. Основные элементы этой системы:
- документ, описывающий правила и практики;
- система тренингов (первичный, повторный);
- система контроля исполнения (пруфы, выборочные проверки).
Политика безопасности — документ
Все организации разные, а внутри организации еще и люди разные. У кого-то есть доступ к финансовой отчетности, а у кого-то его нет. Кто-то является админом телеграм-канала, а кто-то нет. В связи с этим я советую использовать модульную систему политик безопасности — то есть иметь несколько документов, описывающих разные роли внутри организации.
При этом ключевым элементом политики безопасности, обязывающим всех участников, является документ, представляющий собой абсолютно минимальный уровень защищенности (дальше буду упоминать его как «базовая политика безопасности»). Часто тренеры называют такой уровень безопасности цифровой гигиеной. Сравнение с бытовой гигиеной более чем уместно: если мы не следим за собственной гигиеной, это влияет не только на нас, но и на окружающих.
Помимо базового уровня я советую продумать специальные политики безопасности для ролей, работающих со специфическими цифровыми активами и связанных с соответствующими угрозами. Я выделяю следующие специфические роли:
- те, кто работает с персональными данными;
- те, кто работает с технической инфраструктурой;
- те, кто работает с сайтами или другими инструментами публикации;
- те, кто работает с финансовыми документами.
Я советую создавать отдельный документ для каждой из этих ролей в дополнение к базовой политике безопасности.
Помимо этого, активистские организации часто готовят ситуативные протоколы действий (т. е. инструкции), например:
- последовательность действий \ протокол в случае обыска;
- последовательность действий \ протокол в случае ареста;
- последовательность действий \ протокол в случае перехода границы.
И в случае с политиками безопасности, и в случае с ситуативными протоколами действий очень важно соблюдать следующие критерии:
- простота: если документ сложный, никто его не запомнит, особенно в стрессовой ситуации;
- разъяснение всех слов: если документ непонятен, он не работает (автору/ке ПБ следует исходить из презумпции незнания, то есть предполагать, что читатель/ница документа, скорее всего, будет незнаком/а с большинством технических терминов);
- принятие в организации: в случае со внедрением ПБ в проекте, где ПБ раньше не было, очень важен широкий разговор внутри команды, необходимый, чтобы выбор следовать ПБ был осмысленным;
- релевантность ситуации: ПБ необходимо время от времени обновлять (советую раз в 1–3 года); если ПБ нерелевантные, то к ним нет доверия;
- воспроизводимость: сотрудники должны уметь воспроизводить правила по памяти без внешней помощи.
Политика безопасности — содержание
Специально для вас я подготовил шаблон политики информационной безопасности, сделав поправку на то, что большая часть существующих активистских организаций обладают следующими особыми характеристиками:
- Они децентрализованы. Понятие офиса, которое еще в 2019 году было вполне естественным для НКО/инициатив, сейчас кажется далеко не всегда релевантным. Даже если офис есть, далеко не все им пользуются. Не говоря уже об общей цифровой инфраструктуре…
- Они облакоориентированы. Достаточно серьезная часть коммуникаций активистских проектов находится в облаке: их файлы висят в облачных хранилищах или просто в почте и мессенджерах.
- Как правило, у российских некоммерческих организаций и инициатив отсутствует система корпоративного контроля за устройствами, что делает невозможным использование чисто корпоративных практик обеспечения безопасности.
Принимая во внимание, что современные некоммерческие организации ушли «в облака», политика цифровой безопасности уделяет особенное внимание тем аспектам, о которых легко забыть или посчитать само собой разумеющимися: 1) требования к устройствам; 2) вирусы; 3) использование USB; 4) сохранность данных на устройствах; 5) пароли и идентификаторы; 6) принципы работы в сети; 7) общие правила коммуникации; 8) правила отправки и хранения чувствительной документации; 9) использование совместных сетевых ресурсов. И наконец, последний пункт: «информирование об инцидентах» должно отвечать минимальным стандартам информирования об инцидентах, а также иметь глоссарий.
Залинкованный выше шаблон следует воспринимать именно как шаблон и подгонять под ваши нужды, удаляя, дополняя или меняя отдельные строки. Для вашего удобства я выделил светло-желтым наиболее дискуссионные формулировки, которые вы наверняка захотите изменить или дополнить. Особенно следует обратить внимание на уровень долженствования: в документе можно встретить слово «должен». Если вы считаете, что такой язык не применим для вашей организации, я рекомендую заменить его на более мягкие формы, например «рекомендуется». То, насколько обязательны правила, следует решить на встрече организации. В тексте я постарался дать самые последние рекомендации по поводу того, какие инструменты использовать, но финальный выбор также остается за вами.
Политика безопасности — практики
Как правило, можно встретить две ситуации, связанные с политикой безопасности:
- внедрение ПБ в организацию;
- поддержка уже внедренной ПБ.
Принятие на уровне организации. В случае с внедрением ПБ чрезвычайно важно донести до большей части сотрудников необходимость принятия ПБ. В современной ситуации большинство организаций — по сути горизонтальные (даже если у них есть формальная иерархия). Поэтому самый лучший способ — организовать встречу или серию встреч, где вы проговариваете каждый параграф, дополняете его или удаляете. Это может занять какое-то время, но зато даст ощущение сопричастности всем участникам организации и позволит разъяснить необходимые вопросы. Финализировать обсуждение я советую официальным решением правления организации. Это решение устанавливает статус документа и является обязывающим.
Вы можете спросить: «Нафига столько бюрократии?» Отвечаю: я верю в принцип верховенства права. А верховенство права всегда начинается с совместно определенных правил игры, которые где-то записаны. В демократических организациях очень важно иметь задокументированные правила игры. Политика безопасности — один из подобных документов.
Onboarding. Если ваша организация приняла ПБ, то важно дать время на освоение уже имеющимся участникам организации. В Теплице мы сделали одинаковый для всех сотрудников набор задач в нашем менеджере задач: пока вы не выполните задачи (выполнение задачи нужно задокументировать, например приложить скриншот работающего полнодискового шифрования или скриншот экрана, подтверждающего установку двухфакторной аутентификации), вы не можете выполнять ваши непосредственные рабочие задачи. Разумеется, что децентрализованным проектам, не специализирующимся на технологиях, такой онбординг может показаться сложным. В этом случае вы можете получить тот же результат, планомерно тренируя и проверяя сотрудников по каждому конкретному пункту ПБ.
Бывает так, что новый сотрудник считает себя выше правил и политик. «Не надо меня учить, я простые числа в алгоритме Диффи-Хеллмана в детском саду в уме перемножал», — надменно говорит сотрудник-эксперт. Патрик Ленсиони, автор бестселлера «Пять пороков команды», разбирает кейс сотрудника-эксперта, отказывающегося выполнять правила. Отказ выполнять политику безопасности — это частный случай такого кейса.
Ленсиони считает, что следование общим правилам всех без исключения — очень важный организационный принцип. Если человек, сколько угодно талантливый и экспертный, не может играть по правилам команды — расставайтесь. Слаженная команда, играющая по правилам, всегда побеждает плохую команду с хорошими экспертами.
В случае же с новыми участниками внедрение политики может происходить двумя способами. Первый — вы или специально назначенный человек объясняет новому участнику организации ПБ, возможно, показывает соответствующие видеоролики (мы в Теплице слепили курс из роликов Вовы Ломова по теме безопасности). Второй — вы ставите задачи в менеджере задач и следите за выполнением.
Также нужно объяснить ключевой момент, что исполняющий задачу никогда не закрывает ее сам, а только предлагает пруф, подтверждающий, что задачу можно закрыть (если пруф приложить нельзя, можно просто написать «ознакомился», после чего вы закрываете задачу). Как правило, на выполнение всех задач отводится неделя, с возможностью перенести дедлайн.
Резюме
Политика безопасности — это способ стандартизировать цифровую гигиену в организации, а заодно просветить ваших коллег по поводу самых базовых угроз, которые могут повредить не только самим людям, но и всем в вашей организации. Я надеюсь, что политика безопасности поможет вашей организации повысить уровень безопасности, а следовательно, и уровень уверенности в себе. Я искренне считаю, что безопасность нужна активист(к)ам не для того, чтобы бояться, а, наоборот, чтобы не бояться и делать то, что они считают нужным и справедливым, не подвергая себя при этом ненужным рискам.
