Эксперт*ки по безопасности собрали все советы для организаторов мероприятий, которые хотят видеть у себя на площадках адекватных людей. О том, как отличить случайных прохожих и провокаторов от тех, кому встреча действительно поможет в профессиональной и активистской деятельности — в гайде Теплицы.
Проверка потенциальных участни*ц (далее в тексте мы будем называть их кандидат*ками) помогает обеспечить атмосферу комфорта и доверия. Верификация — лишь один из множества аспектов комплексной безопасности. Если вдумчиво подходить к этому процессу и сочетать его с другими мерами, это поможет собрать гармоничную аудиторию и снизить риски.
По нашим представлениям, правила и методы верификации должны:
- быть основаны на ценностях, которые разделяют организаторы и кандидаты;
- быть эффективными;
- не снижать мотивацию кандидат*ок;
- не перегружать организаторо*к;
- быть удобными, прозрачными и простыми для восприятия;
- быть гибкими, адаптируемыми к меняющимся условиям.
Теплица уже публиковала статью на эту тему. В ней мы рассмотрели продвинутые меры сбора и анализа данных по открытым источникам. Сейчас вы читаете советы по верификации для мероприятий, которые мы попробовали превратить в методически выверенный гайд. Советы основаны на реальном опыте организаторов мероприятий. Если у вас есть комментарии или дополнения, пожалуйста, свяжитесь с нами: [email protected].
Когда нужна верификация
Верификация полезна на профильных встречах, где собираются люди, которые не обязательно хорошо знают друг друга. Обычно для таких событий нужна предварительная регистрация. Это подавляющее большинство мероприятий: конференции, семинары, вебинары, онлайн-мастерские, хакатоны и др.
Иногда верификацию можно проводить в упрощенном виде. Пример — небольшая частная встреча, где «все свои», и регистрация не нужна в принципе. Скажем, совещание внутри одной команды. Если такая встреча проводится в офлайне, верификация не требуется. Если такая встреча проводится в интернете, ведущий перед началом просит собравшихся хотя бы на минутку включить камеры. Чтобы все убедились: здесь нет чужих людей. Другой пример — когда кто-то из присутствующих играет роль соорганизатора, лично приглашает людей и ручается за них. В частности, так порой проводятся тренинги и вебинары для редакций СМИ и НКО, где роль соорганизатора играет, соответственно, главн*ая редактор*ка или руководитель*ница.
Если мероприятие открытое, на него приглашены все желающие, то возникает искушение не тратить ресурсы на верификацию, а сразу опубликовать детали встречи в открытом доступе. К сожалению, без верификации нельзя рассчитывать на безопасное пространство. Организаторам следует это понимать и принимать дополнительные меры предосторожности: подбирать менее острые темы для дискуссий, приглашать дополнительных людей для подстраховки ведущего, готовиться к возможным инцидентам и предупреждать гостей, чтобы они не делились на встрече деликатной информацией.
Подготовка: основные правила
Определите, кто в вашем коллективе будет заниматься проверкой кандидато*к. Хорошо, если над этой задачей будут работать несколько человек. Они образуют команду верификации. В этой команде могут быть установлены свои правила работы. Например, что решение о верификации принимается минимум двумя голосами.
Для сбора информации и верификации нужны, как минимум, два рабочих документа: политика обработки данных и внутренняя политика безопасности вашей команды.
Первый документ доступен для чтения извне. Вы будете ссылаться на него при сборе данных. Его нужно дополнить формой согласия на обработку персональных данных. Обычно в этой политике изложены:
- типы данных, которые вы собираете (данные не должны быть избыточными);
- цель сбора данных (подготовка и проведение вашего мероприятия);
- гарантии конфиденциальности;
- как будут использоваться данные (в том числе после завершения мероприятия);
- предельный срок хранения данных;
- процедура отзыва согласия на обработку данных;
- ваша контактная информация.
Прозрачность в обработке данных демонстрирует кандидатам бережное отношение организации к их данным и, как следствие, к ним самим. Кроме того, в некоторых странах этого требует закон.
Второй документ — внутренний. Он определяет стандарты безопасности при сборе данных и верификации. В нем установлено, где конкретно хранятся данные, кто с ними работает, обозначены механизмы резервного копирования, допустимые способы передачи данных внутри команды и так далее.
Прежде чем открывать регистрацию, определите срок завершения верификации. Лучше закончить проверку кандидатов за несколько дней до начала мероприятия. Если в группе верификации несколько человек, постарайтесь договориться между собой о распределении нагрузки.
Безопасность верификаторов
Верификаторы должны сами знать принципы обеспечения цифровой и комплексной безопасности. С чего начать? Убедитесь, что пароли для аккаунтов, которые, в том числе используются для верификации, надежны и не повторяются. Включите везде двухфакторную аутентификацию. Если для создания второго фактора вы предпочитаете генератор кодов на смартфоне, не забудьте сохранить резервные коды в настройках аккаунтов. Это поможет в случае потери, поломки или изъятия телефона. Используйте менеджер паролей для хранения паролей, например, Bitwarden или KeePassXC. Удостоверьтесь, что у третьих лиц нет доступа к вашим аккаунтам и устройствам. В качестве канала внутренней связи для команды можно выбрать закрытый чат с автоудалением сообщений в Telegram, мессенджеры Signal, Element или Delta Chat, а для видеозвонков, например, Jitsi Meet или Zoom.
Будет лучше, если вы не станете общаться с кандидатами и их рекомендателями по своим обычным рабочим контактам. Верификаторам правильнее создать новые контакты специально для мероприятия. В первую очередь это касается email.
При онлайновых контактах с людьми, при проверке чьих-либо данных в соцсетях, да и вообще на сайтах в интернете вы оставляете за собой цифровой след. Занимаясь верификацией, вы рискуете выйти на недоброжелателя или оказаться на сомнительном ресурсе, за которым наблюдают. Поэтому лучше создать отдельные профили в социальных сетях, а не пользоваться рабочими или личными аккаунтами. Не раскрывайте ссылки на личные страницы. Желательно не «светить» свой номер телефона, а если при верификации приходится использовать аккаунт с привязкой к мобильному, используйте новый аккаунт, привязанный, допустим, к зарубежной SIM-карте.
Хранение данных
Собираемые данные можно хранить в таблицах, например в Google, Airtable, Cryptpad. Последний инструмент удобен, если вы намереваетесь работать с компьютера. (Для мобильных устройств на сегодняшний день Cryptpad, вероятно, не лучший выбор).
Мы рекомендуем принимать меры защиты данных. В частности, следует ограничить доступ к базе для людей, которые не занимаются верификацией. Расшаривая базу для доступа коллег-верификаторов в Google Documents, не забывайте снимать галочку, которая наделяет каждого «посвященного» правом делиться документом дальше. В Cryptpad документы можно дополнительно защищать паролем и устанавливать для них предельный срок жизни.
Регулярно создавайте резервные копии собранных данных и сохраняйте эти копии в надежном месте, отличном от оригинального хранилища. Резервные копии лучше защищать шифрованием. Их наличие обезопасит вас от случайностей и позволит сохранить доступ к данным, если что-то произойдет с вашим рабочим устройством или аккаунтом.
Организация общения с кандидатами
Важно продумать каналы взаимодействия с кандидат*ками на этапе верификации. Например, у человека может измениться email, он*а захочет исправить или добавить контакт рекомендателя. Дайте людям возможность связаться с вами.
Для входящих замечаний и вопросов можно использовать отдельную форму с того же сервиса, где проводится основная регистрация, или Telegram-бот.
Пожалуйста, не путайте обратную связь с кандидат*ками, которая нужна на период верификации, и общий чат для коммуникации с участни*цами мероприятий. В такой общий чат приглашаются уже верифицированные люди. Он нередко продолжает жить после мероприятия, а иногда даже дает ростки нового сообщества.
Анонимное участие и сложности верификации
Анонимность — одно из прав человека в цифровой среде. В случае активистских сообществ это вопрос взаимного доверия и стремления обеспечить безопасность участников и организаторов. Однако анонимность может препятствовать верификации и негативно влиять на безопасность.
В некоторых случаях достаточным компромиссом может быть схема «анонимность для остальных участников, но не для организаторов». Организаторы проводят верификацию (с именами, фамилиями и пр.) и обеспечивают анонимность участни*цам во время встречи. (Не забудьте предупредить об этом участни*ц на этапе анкетирования). При желании участни*цы могут выступать под никнеймами, без фото или с заменой аватарки, с искажением голоса. Человек по имени Саша Сидоров (с ником «lordofrings») останется анонимным для всех других участни*ц, но не для организаторов.
Анонимность может распространяться и на организаторов, если третье лицо, пользующееся доверием организаторов, выступает поручителем. Этим лицом может быть, например, рекомендатель*ница. Другой пример мы уже приводили выше: вебинар для редакции СМИ, где в качестве со-организатора выступает главн*ая редактор*ка. Именно он*а знает всех приглашенных участников, в то время как другие организаторы, ведущие, тренеры могут этой информацией не иметь.
Другая схема, «анонимность для всех, включая организаторов», в принципе возможна, но сопряжена с проблемами. Если кандидат*ка с самого начала использует псевдоним, его/ее трудно, а иногда и невозможно верифицировать. Если вы заменяете поле «имя и фамилия», допустим, на «как к вам обращаться», то будьте готовы к дополнительным трудностям с верификацией. Ведь усилия верификаторов неизбежно направлены не только на идентификацию кандидат*ки, но и на сбор дополнительных данных о нем. Если вы продвигаете анонимность, возможно, лучше делать это иначе.
Например, старайтесь напомнить о ней кандидат*кам в комментариях к полю анкеты «Никнейм». Многие люди всюду используют имя-фамилию (или только имя), потому что даже не задумываются о возможности использования псевдонима. Напишите об анонимности в анонсе встречи. Дайте кандидат*кам гиперссылки на материалы об анонимности и о том, как ее использовать на мероприятиях. Возьмите за правило не называть людей по настоящим именам во время мероприятия и не оглашать никакие факты, по которым можно было бы идентифицировать человека. Включите соответствующие условия в правила проведения мероприятия (code of conduct).
Онлайн-регистрация и анкетирование
Через форму регистрации организаторы собирают первичную информацию о кандидат*ках. Форма может быть расширена анкетой, которая поможет получить не только контактные данные, но и рекомендации от коллег, оценить интересы, мотивацию и потенциал кандидатов. При необходимости можно включить вопросы для оценки знаний и опыта кандидатов — это будет полезно для координаторов при взаимодействии с аудиторией.
Анкеты удобно собирать и обрабатывать через Google или Microsoft Forms, Airtable, Typeform, Survey Monkey или Cryptpad. Многие сервисы легко интегрируются друг с другом.
Сообщите кандидат*кам прямо в регистрационной форме, что проводите верификацию. Лучше не использовать само слово «верификация». Опыт показывает, что такое строгое определение может повышать тревожность у кандидатов, а иногда и сам термин вызывает непонимание. Попробуйте использовать фразы вроде «после проверки данных».
Добавьте фразу о том, что работа с полученной информацией будет проходить в соответствии с вашей политикой обработки данных. Прикрепите ссылку на подготовленную вами страницу с этой политикой (что это такое, мы писали выше).
Не собирайте избыточные данные. Ниже мы приводим список возможных вопросов для формы регистрации (анкеты).
- Имя и фамилия (об анонимизации участников мы говорили выше).
- Email. В пояснении можно попросить указывать относительно безопасный домен электронной почты: не Mail.ru или Yandex, а хотя бы Gmail или Proton.
- Контакт в мессенджере. Для коротких, разовых, особенно онлайн мероприятий это опциональный пункт. Вы сможете обойтись адресом электронной почты. Но если вы проводите, например, мероприятие на несколько дней с упрощенной верификацией, чат для быстрой связи с участниками будет весьма полезен. (Возможно, вам даже удастся обойтись только контактами в мессенджерах и не запрашивать email). Если планируете вести такой чат (например, в Element, Telegram или Signal), спросите кандидат*ку о наличии аккаунта в нем. Возможно, придется помочь человеку с установкой приложения и созданием аккаунта.
- (онлайн-мероприятия) Никнейм для участия. Иногда человек подключается к Zoom-встрече под псевдонимом, а не использует указанные при регистрации имя и фамилию. Тогда вам будет сложно верифицировать людей на входе, в том числе в «зале ожидания», если они придут к вам с незнакомыми никами.
- Ссылки на страницы в социальных сетях. Помогут расширить знакомство с кандидатом.
- Откуда вы узнали о мероприятии? Если событие анонсировалось публично на нескольких площадках и в партнерских медиа, можно оценить, к какой аудитории принадлежит человек.
- Участвовали ли вы в наших мероприятиях раньше? (Если да, пожалуйста, укажите в каких). Можно упростить верификацию, если об этом человеке остались данные и воспоминания организаторов или ведущих. Вариант вопроса: «Участвовали ли вы ранее в мероприятиях по этой теме?» Он больше подходит тем командам, которые сравнительно редко организуют собственные мероприятия.
- Кто может вас рекомендовать? Попросите указать контактные данные людей, которые могли бы подтвердить личность кандидат*ки и рекомендовать его/ее для участия в мероприятии. Опыт показывает, что кандидаты не всегда четко воспринимают понятие «рекомендовать». Чтобы их сориентировать, можно добавить пояснение. Например, такое: «Пожалуйста, укажите, кто знаком с вашей профессиональной и/или активистской деятельностью и, желательно, готов подтвердить указанный в этой анкете адрес email. Это может быть кто-то из организаторов или спикеров мероприятия, информационных партнеров, руководителей и сотрудников НКО, гражданских активистов, независимых журналистов».
- Что вы хотите получить от нашего мероприятия? Ответ на этот вопрос раскрывает мотивацию человека.
- Чем бы вы хотели поделиться с другими участниками? Если ваша встреча подразумевает дискуссию, круглый стол, обмен опытом, можно предложить человеку подумать о его собственном вкладе. Вы наверняка хотите видеть у себя мотивированных и полезных людей. Разумеется, можно формулировать эти два вопроса иначе, например, «Почему для вас важно поучаствовать в нашей встрече?»
Можно задавать и другие вопросы. Например, попросить кандидат*ку поделиться ссылками на свои публикации и рассказать о релевантном личном опыте по теме мероприятия. Это позволит лучше понять его/ее интересы и компетенции. Если ваша организация не может по своему уставу и правилам поддерживать, допустим, государственные организации и их сотрудников, уместно включить это условие в анкету. Например, Теплица социальных технологий ожидает от кандидатов, что те будут разделять ценности Теплицы.
Отправляя анкету, кандидат дает согласие на обработку своих данных. Добавьте в анкету поле для галочки (по умолчанию пустое) с примерно такой формулировкой:
«Я подтверждаю, что предоставленные мной данные являются достоверными и согласен(-а) на их обработку и проверку. Цели проверки данных мне понятны».
Использование данных для других мероприятий
У тех, кто регулярно проводит мероприятия, может возникнуть желание облегчить себе (и кандидатам) жизнь и использовать информацию об участниках для следующих встреч. Если проводилась верификация, ценность данных возрастает. Кроме того, можно сэкономить время и силы. Кандидаты получат меньше вопросов, организаторам придется обрабатывать меньше новых данных. Кажется, что всем удобно. К сожалению, эта мысль часто приходит уже в конце мероприятия или даже после него. Хотя договариваться об этом следует еще на этапе сбора данных.
Использование собранных персональных данных должно ограничиваться заранее поставленной четкой целью. (Так определено и в российском 152-ФЗ «О персональных данных», и в ст.5 GDPR). Кроме того, создание среди верифицированных некоего «безопасного пула» кандидатов или даже «безопасного пространства общения» в большей степени отвечает модели «защищенного периметра». С точки зрения экспертов по безопасности предпочтительна модель Zero Trust («нулевого доверия»). Она предусматривает верификации с меняющимися условиями для новых задач и ролей. С этим же требованием связано определение предельного срока хранения персональных данных с обязательным последующим их удалением со всех устройств и из всех аккаунтов организаторов.
Можно указать в политике обработки данных поле для выбора (по умолчанию пустое) с примерным содержанием:
- Я даю согласие на обработку/использование моих данных из этой формы для приглашения меня на другие мероприятия и соответствующей верификации.
Верификация принадлежности контактов и аккаунтов
Итак, информация собрана. Верификатор держит в руках заполненную анкету Саши Сидорова. Две задачи:
- убедиться, что указанные в анкете данные действительно принадлежат настоящему Саше Сидорову;
- оценить, насколько Саша Сидоров подходит для участия в мероприятии.
Сначала разберемся с первой задачей. Чтобы верифицировать контакты:
- Поищите указанный кандидатом контакт в общедоступных источниках (например, обычным поиском Google). Соответствуют ли результаты поискового запроса информации из анкеты? Упоминается ли этот контакт в заслуживающих доверия источниках как контакт Саши Сидорова?
- Если вы уже верифицировали какой-то из контактов человека, выясните, поможет ли это верифицировать другие контакты. Например, вам нужно верифицировать email, и вы уже убедились, что страница в соцсети принадлежит Саше Сидорову. Зайдите на страницу и посмотрите в информации о Саше Сидорове: указан ли там email?
- Спросите рекомендателей, подтверждают ли они, что контакт действительно принадлежит кандидату, которого они знают.
- Бывает, что изучение активности пользователя тоже помогает верификации. Скажем, Саша Сидоров сообщил о себе в анкете, что работает в Томске. Это подтверждается фотографиями Томска и отчетами с томских мероприятий на странице в соцсети. Если у вас есть общие друзья, это тоже может косвенно подтверждать, что страница в соцсети действительно принадлежит Саше Сидорову.
Верификация контактов может не иметь стопроцентной достоверности. Например, мотивированный злоумышленник даст ссылку на настоящую веб-страницу Саши Сидорова, но укажет в анкете собственный email. Открывать новые аккаунты email для регистрации на мероприятиях — обычное дело. Поэтому верификация контактов — процесс важный, но вероятностный.
Есть еще один способ верифицировать принадлежность аккаунта человеку: попросить его внести какое-нибудь маленькое изменение в содержание аккаунта. Например, разместить на веб-сайте крошечный текстовый файл, чье содержание предложит верификатор. Так кандидат*ка может быстро продемонстрировать, что сайт действительно принадлежит ему.
Верификация кандидата как личности
Насколько кандидат*ка подходит для участия в мероприятии?
- Посмотрите, что написал*а кандидат*ка в «мотивационных» полях анкеты.
- Ознакомьтесь с его публикациями, фотографиями, видео, с материалами веб-сайта. Иногда источники искать непросто. Попробуйте использовать, например, «Обратный поиск по изображениям Google» или сервис TinEye. Это позволит найти, где еще опубликованы фото того же человека.
- Обратите внимание не только на то, что пишет кандидат*ка, но и что о нем пишут другие.
- Оцените, актив*на ли кандидат*ка в профильных профессиональных сообществах.
- Обратите внимание на то, с кем он дружит в сети, как проявляют себя эти люди по острым социальным темам.
Если аккаунт в соцсети по решению владельца закрыт от всех, кроме друзей, верификатор может попросить на время добавить его, верификатора, в «друзья».
Тревожные сигналы
Ниже даны примеры «красных флажков» — признаков того, что, возможно, кандидат*ка не подходит для вашего мероприятия. А может, в его отношении требуется дополнительная проверка.
- Кандидат*ка не разделяет основные ценности организаторов, например, пропагандирует насилие и поддерживает войну. Это может проявляться не только в публикациях, но и на фотографиях (скажем, кандидат*ка всюду позирует с оружием).
- Публикует ксенофобские, хейтерские материалы (например, против ЛГБТ+).
- Использует агрессивную риторику, демонстрирует склочничество в общении, наезды на собеседников, жесткий переход на личности.
- Не удается верифицировать контакты кандидат*ку.
- Кандидат*ка не указал рекомендателей.
- Рекомендатели отзываются, но не подтверждают личность кандидат*ки.
- Рекомендатели подтверждают личность кандидата, но дают ему негативную оценку.
- У кандидат*ки нет собственных публикаций, только репосты и/или реклама, или же они вовсе пустые, или созданы совсем недавно, будто «под мероприятие».
- Есть подозрения, что до недавнего времени кандидат*ка «вел*а другую жизнь». Например, раньше публиковал*а фотографии с дачи, автомобили и ремонт, а неделю назад вдруг стал*а постить последние слова политзаключенных на судах, интервью Дудя и так далее.
- Среди друзей кандидат*ки в соцсетях есть одиозные личности, которых вы воспринимаете как потенциальную угрозу для себя и своей команды.
- Кандидат*ка в общении демонстрирует избыточное любопытство, пытается выведать чувствительную информацию о вашей команде, хотя к этим данным у не*ё не должно быть доступа.
- Кандидат*ка не дал*а никаких ответов на «мотивационные» вопросы анкеты или отделал*ась общими словами вроде «обмен опытом» и «желание узнать что-то новое».
Степень актуальности перечисленных пунктов зависит от позиции организаторов. Возможно, некоторые из этих условий покажутся вам приемлемыми, или вы заметите отсутствие какого-то «красного флажка». Как бы то ни было, важно смотреть на степень проявления тех или «флажков». Например, рекомендатель может не подтвердить личность Саши Сидорова, но не потому, что они незнакомы, а потому, что рекомендатель просто забыл Сашу Сидорова.
Дополнительные способы верификации
Если рекомендаций и/или анализа информации из соцсетей и прочих площадок оказалось недостаточно, можно предпринять другие шаги. Например, предложить кандидат*ке дополнительные вопросы, которые помогли бы раскрыть его/ее мотивацию и конкретные планы по применению знаний, полученных на вашей встрече. Существуют более продвинутые способы проверки данных о человеке по открытым источникам. Их совокупность часто называют OSINT. Можно попросить прислать формальное резюме, этот документ у многих есть в готовом виде.
При верификации волонтеров руководители НКО, как правило, добавляют собеседование (иногда это основной инструмент верификации). Однако для мероприятий мы бы рекомендовали собеседование лишь в виде исключения. Было бы чрезмерным оптимизмом верить, что если вам не помогли принять решение ни рекомендации, ни социальные сети, ни дополнительные вопросы, ни резюме, то онлайновая беседа все изменит. Кроме того, нам кажется, что проводить созвоны непосредственно перед мероприятием, когда у организаторов (и верификаторов) особенно много хлопот — не самая хорошая идея.
Некоторые верификаторы, помимо прочего, прибегают к поиску по «слитым» базам данных и инструментам вроде «Глаз бога» и «Химеры-сёрч». Мы не станем давать оценку эффективности этих методов. Отметим лишь, что использование незаконных способов получения информации о людях может повысить ваши собственные риски.
Верификация на старте мероприятия
Если вы проводите онлайн-встречу, постарайтесь, чтобы только верифицированные участники получили ссылку для подключения к мероприятию (а если офлайн — адрес вашей встречи). На этом этапе также можно обозначить правила поведения на мероприятии и необходимые меры предосторожности. Верификация в интернете, однако, не заканчивается с отправкой ссылки участникам.
Во-первых, сама ссылка уязвима. Участник может переслать ее другому человеку по просьбе типа «я регистрировался, но забыл ссылку, пришли, пожалуйста». Так с помощью социальной инженерии, в обход регистрации и верификации на встречу могут попасть злоумышленники. В Zoom предусмотрено решение этой проблемы в виде собственного механизма регистрации. Вы можете пропустить этап именно зумовской регистрации, например, задействовать в качестве регистрационной анкеты привычную форму Google. Собранные адреса email кандидатов оформите в виде файла .CSV и загрузите в Zoom. Это позволит выполнить автоматическую отправку индивидуальных ссылок накануне встречи. Таким образом каждый участник получит свое уникальное приглашение на мероприятие. По такой ссылке невозможно одновременно подключиться с нескольких устройств, поэтому передавать ее не будет смысла.
Во-вторых, каковы бы ни были имена и фамилии, люди часто подключаются под никнеймами. Возникает риск, что участников, которые ранее были верифицированы, станет невозможно идентифицировать при подключении к площадке и на самой встрече. Хуже того, никнеймы могут повторяться. Тогда у вас в чате окажется несколько Саш, Лен или Ань (и полдюжины пользователей с ником «iPhone»). Чтобы этого избежать, мы советуем еще при составлении анкеты спрашивать про никнейм (см. выше). Альтернатива — просить представиться каждого вошедшего в «зал ожидания» индивидуально. Однако при большом числе участников такая проверка может стать «бутылочным горлышком», изрядно потрепать организаторам нервы и плохо сказаться на таймингах всей встречи.
Надеемся, вам окажутся полезными эти рекомендации. Спасибо Анастасии Рыковой и коллегам из Теплицы социальных технологий за помощь в работе над этим материалом.