Эта памятка рассчитана на тех, кто работает удаленно. Например, таких добровольных участников некоммерческих проектов, как люди на платформе «IT-волонтер». Создавая нижеследующий список, эксперты Теплицы постарались быть максимально краткими, а всю необходимую информацию по отдельным шагам зашивать в виде ссылок.
1. Задайте себе вопросы, касающиеся анализа рисков
- Что вы в первую очередь хотите защитить, начиная заниматься волонтерской работой? За что вы сильнее переживаете?
- Что и кто этому может угрожать?
- Есть ли у вас какие-то уязвимости, которые делают вас слабее и мешают защитить упомянутые ценности? (Например, нехватка знаний в области цифровой безопасности, отключенная двухфакторная аутентификация, отсутствие резервных копий.)
- Есть ли у вас ресурсы, чтобы защитить упомянутые ценности? (Например, надежные пароли, возможность пройти курс Теплицы, контакты консультанта по безопасности.)
2. Как вы в принципе хотите работать?
- Насколько открыто вы готовы действовать? Какая степень анонимности вам нужна? Какие конкретные данные о себе вы можете предоставить заказчику, а что для вас избыточная информация?
- С какими заказчиками вы готовы работать? (Иностранные агенты, нежелательные организации, не зарегистрированные в РФ иностранные организации и др.)
- Готовы ли вы подписать договор, если попросит заказчик?
3. Основы безопасности
- Используйте надежные пароли (рекомендуем менеджер паролей вроде Bitwarden или KeePassXC).
- Для защиты аккаунтов по возможности включайте двухфакторную аутентификацию (не забывайте о резервных кодах).
- Защитите устройства, на которых вы работаете (пароль на входе, шифрование и др.).
- Защитите файлы и переписку в чатах и по email (шифрование, самоудаляющиеся сообщения и др.).
- Используйте VPN для защиты коммуникаций.
- Регулярно проверяйте, как у вас дела с безопасностью (обновляются ли программы, включены ли защитные средства, не зафиксированы ли подозрительные входы в аккаунты и др.).
4. Если вы хотите больше анонимности
- Указывайте ник, а не имя-фамилию и позаботьтесь о том, чтобы ваш ник вас не идентифицировал
- Скройте реальный номер и уберите свое фото в Telegram и других мессенджерах/соцсетях, если возможно.
- Создайте новый анонимный адрес email, используйте его для работы с заказчиками.
- Вероятно, лучше не использовать для работы свои обычные аккаунты в Github (Gitlab), Figma и прочих профессиональных инструментах.
- Не делитесь данными, которые помогают вас идентифицировать.
5. Если нужен серьезный уровень анонимности
- Создавайте новые аккаунты для разных волонтерских задач.
- Избегайте в создаваемых аккаунтах одинаковых или схожих ников.
- По возможности избегайте российских сервисов типа Mail.ru или Яндекса.
- Привязывайте аккаунт в Telegram к неидентифицируемой SIM-карте или пользуйтесь средствами связи, которые не требуют привязки к телефону (например, Element).
- Используйте Tor Browser.
- Используйте Tails, чтобы не оставлять следов в сети и локально.
6. Заказчик может вас верифицировать
- Если вам не нужна анонимность, будьте готовы ответить на вопросы и предоставить рекомендации или портфолио.
- Если вам нужна анонимность, будьте готовы обосновать это заказчику, а вместо ответов на вопросы и рекомендаций, например, выполнить тестовое задание.
7. Найдите общий язык с заказчиком
- Будьте готовы выполнять требования конфиденциальности заказчика.
- Если заказчик предлагает какие-то меры безопасности, старайтесь пойти ему навстречу.
- Если не хотите афишировать свое сотрудничество с заказчиком, не упоминайте о нем на сайтах, в LinkedIn, в соцсетях и попросите его не упоминать вас.
- Сами будьте амбассадором безопасности, предлагайте новые для заказчика безопасные решения.
8. Завершение работы
- Оставляйте только необходимые данные, удаляйте лишнее.
- Сохраняемые данные защитите шифрованием, отправьте в облако.
- Удаляемые данные сотрите безопасным образом.
- Позаботьтесь не только о файлах, но и о переписке.