Як змінився український медіапростір протягом повномасштабного вторгнення? Наскільки покращилася чи погіршилася ситуація з цифровою безпекою в медійних організаціях за останні 2—3 роки? Громадська організація «Інтерньюз-Україна» опублікувала звіт на основі глибинних інтерв`ю, через які досліджувала потреби цифрової безпеки медіа та громадського сектору. Також метою дослідження було виявити правила й елементи політик цифрової безпеки цифрової безпеки, якими керуються журналісти й активісти та з’ясувати потреби журналістів та активістів у навчанні та послугах цифрової безпеки.
Команда дослідників провела 20 глибинних інтерв’ю із журналістами, представниками громадських організацій, експертами з цифрової безпеки через мобільний дзвінок або онлайн-зустрічі на платформі Zoom. Дослідження тривало від 26 червня до 10 липня 2024 року. Переповідаємо головне з висновків.
З чим медійники пов’язують цифрові загрози
Опитувані кажуть: зміни, які відбулися в медіапросторі за останні кілька років, пов’язані з посиленням російсько-української війни та швидким розвитком технологій.
Зокрема зазначають, що прискорення потоків інформації стає причиною зміщення стандартів журналістики. Найважливішим критерієм стає оперативність, що посилює ризик публікування неперевіреної інформації. Активне проникнення технологій у суспільство погіршує середній рівень медіаграмотності за рахунок нових користувачів. Водночас часто самі журналісти не встигають стежити за інноваціями, тому їхні практики цифрової гігієни не завжди відповідають сучасним викликам.
Також інформанти відзначають істотне збільшення кількості кібератак на медіа, поширення фейкової інформації та ІПСО в соцмережах.
Кого вважають загрозою цифровій безпеці медійників
У медіапросторі можна спостерігати створення дублікатів медіа (часто — каналів у месенджерах), поширення паніки через фейки, посилення кібератак з метою викрадення як персональних даних, так і даних організації. Читайте також: Як кібератаки дестабілізують цифровий простір України під час війни — дослідження ЦЕДЕМ Опитані пов`язують це насамперед із діями російських спецслужб, які прагнуть розколоти українське суспільство, поширюючи фейки в інфопросторі.
Серед інших «зловмисників» називають:
- окремих представників української влади, зокрема, Офіс Президента й фігурантів антикорупційних журналістських розслідувань — корумпованих чиновників;
- українські спецслужби (як знаряддя в руках недобросовісних українських посадовців);
- шахраї, яких може цікавити отримана журналістами інформація.
Експерти також вказують на появу транснаціональних груп, які здійснюють атаки у різних регіонах світу.
Якими є основні загрози цифрової безпеки для журналістів
До основних загроз інформанти відносять:
- злам акаунтів для отримання сенситивної інформації та/або поширення фейків;
- створення баз даних щодо журналістів;
- ризик зламу пристроїв (смартфон, ноутбук), які можуть потрапити до рук окупантів під час роботи на прифронтових територіях.
Частина інформантів із медійних та громадських організацій мали досвід проблем із цифровою безпекою. Найчастіше опитані називають DDoS-, фішингові атаки, блокування сторінок у соцмережах через численні скарги ботів, злам доступу до сторінок в соцмережах, адмінпанелей сайту та телевізійних комунікацій, вірусні атаки, спам ботів у коментарях до постів у соцмережах та месенджерах. Більше по це ми розповідали у матеріалі про важливість цифрової безпеки.
Такі загрози поширюються не лише на самих журналістів, але й на їхніх інформаторів, як-от їхніх джерел в офіційних органах влади. Також під загрозою перебувають члени сім’ї журналістів: інформація про них може стати підґрунтям для тиску на журналіста, щоб опублікувати певну інформацію.
Опитувані також зазначили про тиск на журналістів та громадські організації, що займаються, зокрема, боротьбою з корупцією. Зокрема, поширеною є практика погроз журналістам через анонімні Telegram-канали. Це посилює самоцензуру серед журналістів: розуміючи, що публікація певної інформації може спричинити особисті проблеми, деякі журналісти відмовляються проводити/доводити до кінця відповідні розслідування.
Окремо інформанти зазначали небезпеку з боку розвитку технологій штучного інтелекту. Створення ШІ-контенту, на думку опитуваних, може призводити не лише до зниження загальної якості матеріалів, а й до конкуренції між журналістами та ШІ.
Що цікавить зловмисників?
Інформацію, якою цікавляться зловмисники, можуть використати для кіберцькування та шантажу журналістів, щоби впливати на їхню роботу. До сенситивної інформації, якою цікавляться зловмисники, опитані відносять:
- особисті дані журналістів, за допомогою яких можна відстежувати їхні дії (окрема категорія такої інформації — дані про рідних і дітей);
- доступ до робочої системи та ресурсів медіа, щоб поширювати певні наративи серед аудиторії, яка вже довіряє цьому медіа;
- персональні дані, фото, відеоматеріали про героїв медійних сюжетів: військових, зокрема дані щодо пересування військ, їхніх родичів, полонених, жителів прифронтових, деокупованих та окупованих територій та їхніх рідних;
- персональні дані інформаторів, з якими журналісти могли налагоджувати стосунки багато років;
- персональні дані про закордонних колег;
- дані про фігурантів кримінальних злочинів, щодо яких журналісти проводять розслідування;
- дані про злочини росіян та рух їхніх коштів, який збирають для доказової бази обвинувального вироку.
Чи актуальні цифрові загрози в редакціях
Учасники опитування зазначили, що майже всі загрози для інформаційних ресурсів залишаються актуальними. Це, зокрема:
- витік персональних даних;
- створення фейкових каналів у соцмережах та месенджерах, що мімікрують під справжні;
- конструювання якісних дипфейків;
- GPS-трекінг, прослуховування та зовнішнє спостереження;
- масовані DDoS-атаки;
- робота з дискредитованими соцмережами й медіа.
Водночас опитувані здебільшого оцінюють імовірність витоку інформації, з якою працюють, як середню. Вони зазначили, що імовірність зламу залежить, з одного боку, від того, чи перебуває медіа в полі зору спецслужб, з іншого — від ступеня захищеності.
Зокрема актуальність загроз цифрової безпеки для організації залежить від ідентифікації зловмисників, які несуть цю загрозу, й усвідомлення масштабу та потенційних наслідків власної професійної діяльності.
Про особливу небезпеку говорять організації та медіа, які знають, що їх відносять до «терористичної організації» та/або отримують фінансування з джерел, пов’язаних з американськими організаціями, зокрема неурядовими.
Також рівень загрози оцінюють згідно з масштабом діяльності, яку веде організація. Представники загальнонаціональних медіа частіше повідомляли про те, що вживали додаткових заходів із цифрової безпеки, завдяки чому змогли підвищити рівень безпеки до середнього. Водночас цей рівень не може стати високим через зацікавленість зловмисників як із боку РФ, так і з боку представників української влади (деякі інформанти зазначали, що мали справу зі встановленням прослуховування, імовірно, з боку українських спецслужб протягом останніх двох років).
Локальні медіа зазвичай вважають, що не цікавлять російські спецслужби. Винятком є медіа, що працюють близько до зони бойових дій. Щоб «зачистити» інформаційний простір, особливо під час перших місяців повномасштабного вторгнення, агресор намагався зламати медіа, які базувалися й висвітлювали події на окупованих територіях, прикордонних регіонах та в зонах бойових дій.
Як медіа працюють із цифровою безпекою
Опитувані відзначають актуалізацію викликів в умовах повномасштабної війни. Майже всі повідомляють про неготовність до них. Багато інформантів зазначають, що їхні колеги часто не хочуть особливо заглиблюватися в проблеми цифрової безпеки, тому покладають відповідальність на представників технічних відділів компаній.
Що опанували редакції
Через підвищення ризиків, зокрема через повномасштабне вторгнення, а також після безпосереднього зіткнення з загрозами, організації опанували такі інструменти:
- нові перевірки, тестування, тренінги щодо реагування на отриману інформацію через електронну пошту та месенджери;
- посилили вимоги до зміни паролів, запровадили регулярність (у деяких організаціях — щодва тижні);
- перейшли на корпоративне листування через відповідну електронну пошту, що убезпечує дані у випадку зламу особистої пошти;
- припинили частину доступів до адмінпанелей сайтів (передусім для осіб, які опинилися на окупованій території), почали постійно оновлювати сайти.
Водночас представник однієї з організацій повідомив про обмеження можливості дистанційно заходити в адмінпанелі сайтів та їхню прив’язку до офісної техніки, а представниця іншої організації — про запровадження дистанційного доступу до серверів, що дало змогу працювати в умовах вимкнень світла.
Лише деякі інформанти оцінюють готовність своєї організації як високу або через те, що почали запроваджувати зміни до 2022 року, або через практику регулярно звертатися до спеціалістів із цифрової безпеки з проханням проводити відповідні аудити.
Практики особистої інформаційної гігієни
Стан цифрової безпеки організації прямо залежить від особистих практик інформаційної гігієни її працівників.
Опитувані зазначають, що ознайомлені з базовими правилами цифрової безпеки. Серед таких правил вони називають генерування паролів, зокрема за допомогою програм-менеджерів, двофакторну автентифікацію й обережність під час отримання повідомлень електронною поштою або в месенджерах.
Деякі опитані до визначеного переліку додають такі заходи:
- використання антивірусів, VPN;
- створення резервних копій інформації;
- ознайомлення з технічною документацією під час встановлення програм (здебільшого вибіркове);
- використання ліцензійних програм;
- запобігання завантаження документів на пристрої, не пов’язані з сервером організації;
- перенесення роботи винятково до інтернет-простору.
Чому медіа не дотримуються правил
Попри усвідомлення обмеженості власних знань щодо заходів цифрової безпеки, лише частина інформантів відзначає, що повністю дотримується їх. Серед причин недотримання відповідних правил опитані медійники частіше називають:
- порушення звичного способу життя й роботи, що призводить до відрази, відчуття браку сил та часу (особливо під час появи нового сервісу чи соцмережі);
- небажання постійно моніторити зміну ліцензійних угод, які відбуваються під час оновлення програм та застосунків, а також проблеми переходу до менш зручних програм (передусім незвичних месенджерів);
- брак вмотивованості, оскільки організація не ідентифікує себе як потенційну жертву зловмисників через локальну роботу організації;
- брак фінансування на програми, які забезпечують надійніший цифровий захист;
- виникнення технічних проблем зі згенерованими складними паролями через вимкнення електроенергії та збої в операційних системах гаджетів.
Крім того ті, хто не повністю дотримуються правил цифрової безпеки, зазвичай покликаються на:
- брак часу для налагодження роботи та комунікацій у більш захищений спосіб;
- неусвідомлення необхідності постійно підтримувати безпеку;
- розмір організації, який ускладнює уніфікацію правил цифрової безпеки, проведення регулярного навчання й моніторинг стану безпеки в умовах плину кадрів;
- поділ організації на центральний та регіональні відділи (працівники в Києві ставляться до заходів з кібербезпеки серйозніше, зокрема, через більш свідому політику керівництва центрального відділу).
Опитані зазначають, що з рутинізацією робочих процесів відбувається втрата пильності, тому важливо регулярно нагадувати про основні правила цифрової безпеки.
Журналісти відверто кажуть: найбільше їх дратує необхідність створювати різні паролі для різних сервісів і регулярно змінювати їх. Деякі інформанти звертають увагу на те, що сервіси, якими вони користуються в повсякденні (соцмережі, пошта тощо) часто потребують, на їхній погляд, зайвої інформації, що підсилює ризики. До того ж частина застосунків, якими опитані користуються щодня, не видаються їм такими, що мають підпадати під суворі правила цифрової безпеки.
Відповідно одним зі слабких місць в організації особистої інформаційної безпеки може бути те, що журналісти несвідомо розмежовують сервіси для роботи та вільного часу (здебільшого розважальні).
Попри це, серед них найпоширеніша думка про те, що правила цифрової безпеки не є надмірними з огляду на ризики втрати соціального капіталу, який є ключовим для медіаполя.
Натомість експерти та представники громадських організацій частіше говорять, що перший етап переходу до нових правил — найскладніший. Але далі відчуття безпеки посилюється, адже дотримання базових правил не потребує набагато більше часу та зусиль.
Політики щодо цифрової безпеки
Частина інформантів повідомила, що в їхній організації немає окремої політики щодо цифрової безпеки. Формалізована відповідна політика частіше зустрічається в медіа всеукраїнського рівня, натомість лише в одній локальній організації повідомили про її наявність. В інших організаціях спеціальної політики немає, однак вживають окремі заходи щодо впровадження елементів цифрової безпеки.
Що в організаціях знають про цифрову безпеку
За словами опитаних, в їхніх організаціях працівники зазвичай знають про алгоритми захисту від фішингу. Частина інформантів зазначила, що дізнається про такі правила під час тренінгів, які проводять або сама організація, або фахівці з цифрової безпеки. Менша частина респондентів не ознайомлена з такими алгоритмами, тому розв’язує проблеми з фішингом під час консультацій із відділом безпеки або з представниками організацій-партнерів.
Знання щодо засобів запобігання фішингу здебільшого зводяться до ненадання особистої інформації (адреса електронної пошти, номер телефону) на сайти, які підозрюють в ненадійності, а також уникнення листів від невідомих контактів.
Про користування віддаленим робочим столом інформанти повідомляли рідко: така практика спостерігається в окремих відділах великих організацій. Опитані, які чули про таку можливість, але не скористалися нею, розповіли про побоювання щодо вразливості сервісу, практику його використання в комерційних підприємствах, а також про низьку увагу зловмисників до їхньої організації.
Про складання матриці загроз повідомили лише деякі інформанти. В окремих випадках мова про виконання відповідної вправи під час тренінгу, а не про використання на рівні організації.
За словами опитаних, здебільшого їхні колеги дотримуються правил двофакторної автентифікації та генерування складних паролів (проте вони не завжди регулярно змінюють такі паролі).
Як медійники навчаються цифрової безпеки
Дослідження виявило, що в організаціях є різні форми ознайомлення працівників із правилами цифрової безпеки:
- спілкування служби безпеки з окремими департаментами (підрозділами) організації та/або системними адміністраторами;
- ознайомлення співробітників із основними правилами під час онбордингу;
- регулярні тренінги та інструктажі з інформаційної безпеки (як внутрішні, так і зі спеціальними громадськими організаціями);
- розсилка інструкцій через організаційні канали комунікації (як одноразова, так і регулярна).
Зазвичай правила інформаційної безпеки обмежують базовими інструкціями щодо поведінки з ресурсами та сервісами, з якими працює організація. Менша частина опитаних повідомила про наявність в їхній організації посилених правил безпеки, які містять:
- протоколи реагування на випадки зламу акаунту, серверу тощо;
- обмеження доступу до ресурсів організації;
- правила щодо оголошення зборів від інших громадських організацій та благодійних фондів;
- обмеження роботи з персональних комп’ютерів;
- наявність дублювальних хмар інформації та закритих серверів.
Хто відповідає за цифрову безпеку в організації
Частина організацій має відповідну службу безпеки, якій делеговане запобігання зламу цифрової безпеки та реагування на відповідні випадки.
За організацію заходів безпеки в медійних організаціях частіше відповідають окремі технічні відділи та департаменти. Здебільшого їхня компетенція поширюється на організацію технічних параметрів і застосування технічних рішень, спрямованих проти спланованих масових атак.
У невеликих медіа та громадських організаціях за заходи безпеки відповідальні окремі працівники: відповідний технічний спеціаліст, HR, менеджер офісу, голова департаменту або керівник організації.
Також в організаціях поширена практика проведення тренінгів. Їх або проводить сама організація, або запрошують спеціалістів із цифрової безпеки. Зазвичай, як кажуть опитувані, такі тренінги відбувалися один раз. Деякі зазначають, що їх проводять із певною регулярністю — від пів року до року. В інших компаніях замість спільних тренінгів організовують індивідуальні сесії за допомогою організацій-партнерів.
Як організації захищають пристрої та убезпечують комунікації
Деякі організації вживають окремих заходів щодо цифрового захисту приватних пристроїв, із яких можна мати доступ до робочих матеріалів. Серед таких заходів:
- допомога зі встановленням VPN-сервісів;
- ідентифікація особистого пристрою через IP;
- створення захищених серверів інформації з обмеженим правом доступу;
- інсталяція захищеного софту та антивірусів на кожний девайс працівника.
У багатьох організаціях немає визначених сервісів для комунікації. У великих компаніях працівники можуть користуватися як корпоративною поштою і Google Drive, так і різноманітними месенджерами. Серед месенджерів інформанти називають:
- Telegram (водночас наголошуючи на розумінні ризиків, пов’язаних із походженням цього ресурсу);
- WhatsApp;
- Facebook;
- Signal;
- Slack.
Проте лише в деяких організаціях поділяють комунікацію на робочу, що передбачає залучення документів (здебільшого через корпоративну пошту), та неробочу (через месенджери). Деякі опитані повідомили про використання захищених систем електронного документообігу.
Читати більше: Як захистити приватні розмови в месенджерах від шпигунів, хакерів і ворогів
Водночас небажання переходити до більш захищених сервісів спілкування пов’язане зі:
- зручністю пересилати великі обсяги інформації, зокрема фото- та відео-, яка обмежує коло сервісів;
- полегшеною комунікацією з працівниками, які можуть перебувати, зокрема, на окупованій території;
- відсутністю коштів, необхідних на користування ними.
Що потребують організації для впровадження цифрової безпеки
На думку опитаних, доречні наступні кроки, які, як свідчить дослідження, упроваджені лише в деяких організаціях:
- складання внутрішнього протоколу безпеки, що передбачає як загальні правила кібергігієни, так і способи реагування на окремі події;
- поява відділу безпеки, який би моніторив дотримання, наявність та впровадження автоматичних рішень із безпеки, насамперед для запобігання загрозам масових кібератак;
- збільшення відповідальності окремих працівників за власні дії;
- виділення коштів на покращення рівня безпеки сайту;
- запровадження періодичних тренінгів, на яких додатково розглядатимуть практичні кейси та потенційні наслідки недотримання окремих правил кібергігієни;
- під час проведення тренінгів акцентувати не лише на технічній, а й на психологічній сторону захисту;
- поділ робочого та особистого цифрових просторів, зокрема робота на корпоративних (організаційних) девайсах, недопущення суміщення особистих та корпоративних застосунків на одному пристрої.
Читати більше: Як медійникам захистити чутливу інформацію
Основною потребою учасників опитування є підтримка наявного рівня обізнаності з використанням конкретних кейсів. Проте лише деякі опитані мають конкретні запити:
- інформація про різновиди VPN;
- особливості ІПСО;
- розуміння, хто стоїть за скаргами на матеріали в соцмережах;
- способи захисту сайтів медіа (зокрема хмарного);
- способи збереження сенситивного контенту;
- створення захищених каналів для передавання інформації (особливо в умовах роботи на фронті);
- убезпечення від незаконного стеження, способи ідентифікації прослуховування через девайси (смартфони, ноутбуки, трекери тощо);
- особливості протоколів шифрування даних у месенджерах;
- використання ШІ для продукування фейків та способи розпізнавання дипфейків.
За словами опитаних, для тих користувачів, які лише починають ознайомлюватися з основами цифрової безпеки, доцільно використовувати формат тренінгів із відповідями на поширені запитання. Проте, за словами кількох опитаних, онлайн-тренінги неефективні. Участь у тренінгу офлайн є більш пріоритетною, бо це дає можливість поставити більше запитань і сфокусуватися на тому, що є запорукою результативного навчання.
Ті користувачі, які вже мають певні знання, потребують проведення індивідуальних консультацій. На них ефективно розглядати кейси від організації, яка звертається за допомогою. Деякі інформанти також звертають більше уваги на зручність дистанційного формату.
Для всіх інформантів важливою є можливість застосовувати отримані навички на конкретних кейсах. Оптимальна тривалість тренінгів та консультацій — від однієї до двох годин, якщо потрібно більше, варто поділити на два заняття. Частина опитаних, які не виявили зацікавленості, кажуть про недоцільність проведення тренінгів та семінарів на загальні теми — вони би краще зверталися до спеціалізованих організацій із конкретним запитом.
Думки щодо прослуховування подкастів розділилися. Серед тих інформантів, які зацікавилися такою формою матеріалу, поширене бажання запрошення як українських, так і іноземних експертів. До формату не висувають особливих побажань: це можуть бути лекції, інтерв’ю, короткі серії з розкриттям найбільших небезпек та гумористичним наповненням тривалістю 3–5 хвилин.
Послуг із цифрової безпеки потребує лише частина інформантів. Найчастіше вони згадують послуги з аудиту захищеності серверів, адмінпанелей сайтів, корпоративної пошти тощо. Натомість потенційними бар’єрами для проведення аудиту може стати високий рівень недовіри до організації, яка його проводить, а також неготовність платити за це. Також опитані згадували потреби в додатковому програмному забезпеченні, зокрема хмарних сховищах, що потребує більших коштів. Один із опитаних згадав про актуальність можливої гарячої лінії, куди можна звернутися у разі зламу ресурсів організації.
Опитані нейтрально поставилися до майбутньої онлайн-платформи, що об’єднувала б ініціативи з цифрової безпеки. Насамперед інформанти-журналісти не зовсім розуміють доцільності своєї участі, оскільки за потреби воліють звертатися особисто до фахівців за відповідними послугами. На думку опитаних, така платформа могла б виконувати кілька функцій:
- цілодобова підтримка у випадках цифрових загроз;
- розміщення контактів спеціалістів;
- місце для формування навчальної програми для організацій;
- розміщення чеклістів для перевірки стану цифрової безпеки організації;
- оперативний обмін досвідом щодо нових загроз і зон ризику таспособами убезпечити свою організацію;
публікація дайджестів про тенденції у сфері інформаційної безпеки (загрози, кейси про наслідки зламів, способи визначення ресурсів, до яких небезпечно звертатися, методи розпізнавання дипфейків, інформація про зміни політики соцмереж; софт, який допоможе убезпечити організацію тощо).