Учебное пособие: мои цифровые разговоры и переписка

Illustration of a girl using her phone under two giant phones with the conversations category logo on the big screen.

Цель(-и):

На этом занятии вы вместе с участниками рассмотрите инструменты, основные правила и лучшие практики, которые помогут им сохранить конфиденциальность своих разговоров и переписки и защитить их от отслеживания.

Основные моменты:

  • Понимание рисков онлайн-общения
  • Выбор платформы для безопасного обмена сообщениями

Изучаемые практические навыки:

  • Выбор платформы для безопасного обмена сообщениями, соответствующей вашим потребностям
  • Обучение использованию Telegram, Signal, WhatsApp или Wire
  • Использование VPN (дополнительный модуль, по желанию)

Продолжительность занятия:

60 мин (или 75 мин, включая дополнительное занятие по использованию VPN)

Уровень навыков:

Базовый (для большей части контента)

Требуемые знания:

Базовая компьютерная грамотность и грамотность в области электронной почты/социальных сетей

Необходимые ресурсы:

Проектор, слайды, бумага, подключенный к Интернету ноутбук, раздаточные материалы

Презентация:

моё цифровое общение

Раздаточные материалы:

Требуемая предварительная подготовка:

Перед занятием ознакомьтесь с национальным законодательством и распространенной практикой правоприменения (если таковая имеется) в отношении использования шифрования, приложений для обмена сообщениями и VPN. Общую информацию можно найти здесь, однако не забудьте получить актуальную информацию из местных источников. ПРЕДУПРЕЖДЕНИЕ. CyberSTAR НЕ рекомендует проведение образовательных или практических занятий по темам, противоречащим местному законодательству. Модули, освещающие мессенджеры и VPN-сервисы, предназначены для использования только в тех юрисдикциях, где это не противоречит местному законодательству.

A. Подготовка (10 мин.)

  1. Начните занятие с описания его сути, определения его связи с другими темами CyberSTAR и обозначения того, чему участники научатся к концу занятия.

  2. Начните с обсуждения важности защиты наших цифровых коммуникаций. Задайте участникам следующие вопросы, чтобы начать дискуссию:

    • Почему им следует заботиться о конфиденциальности своих сообщений?

    • Что они защищают, сохраняя конфиденциальность своих сообщений?

    • Какими видами связи вы пользуетесь на данный момент?

    Не забудьте упомянуть следующие пункты:

    • Мы часто сообщаем конфиденциальную информацию о себе, наших организациях, партнерах и бенефициарах. Эта информация может быть использована в мошеннических или даже преступных целях, в том числе для выдачи себя за другого человека, шантажа, запугивания, обмана и т. д.

Б. Цифровое общение (15 мин.)

  1. Дайте участникам общий обзор того, как работает цифровое общение. Объясните, что когда два участника обмениваются информацией через Интернет, в дополнение к используемым ими приложениям информация проходит через большое количество единиц сетевого оборудования. Это оборудование принадлежит различным компаниям и организациям, и узнать, кто отслеживает или перехватывает ваши сообщения, практически невозможно.

  2. Воспроизведите короткий анимационный видеоролик, показывающий многошаговый процесс перемещения информации туда и обратно между двумя пользователями.

    [Для создания сценария можно использовать примеры из руководства Security In A Box]

  3. После просмотра видеоролика обобщите основные моменты: информация, которую вы отправляете и получаете, проходит через множество различных устройств, контролируемых множеством различных компаний, организаций, государственных учреждений и частных лиц. Преступники, компании, мошеннические группы и правительства могут отслеживать или перехватывать ваши цифровые разговоры и переписку в нескольких точках:

    • На вашем устройстве, если оно заражено вредоносным ПО или если кто-то наблюдает за вашим общением напрямую

    • На вашем Wi-Fi-роутере, если он заражен вредоносным ПО или контролируется кем-то со злым умыслом

    • Вашим Интернет-провайдером или оператором мобильной связи — либо в своих собственных целях, либо от имени третьего лица

    • На национальном шлюзе, иногда даже если все участники и службы находятся в одной стране

    • При прохождении по физическому кабелю в опорной сети Интернета, если он «прослушивается» (как правило, государственной структурой)

    • Интернет-провайдером или веб-сайтом службы, которую вы используете

    • Интернет-провайдером или оператором мобильной связи людей, с которыми вы общаетесь

    • На любом из серверов, которые хранят или выполняют маршрутизацию ваших сообщений

    • На Wi-Fi-роутере другого участника, если он заражен вредоносным ПО или при наличии злого умысла

    • На устройстве другого участника, если оно заражено вредоносным ПО или если кто-то наблюдает за его общением напрямую.1

В. Шифрование и безопасный обмен сообщениями (10 мин.)

  1. Объясните участникам, что из-за сложности сетевой инфраструктуры, через которую проходят наши сообщения, и наличие множества уязвимостей на этом пути лучший способ обеспечить безопасность и конфиденциальность их разговоров и переписки — это использовать шифрования.

  2. Дайте участникам общий обзор того, как работает шифрование.

  3. Скажите участникам, что при выборе безопасного приложения для обмена сообщениями следует отдавать предпочтение приложениям со сквозным шифрованием.

    Сквозное шифрование — это когда отправляемый и получаемый вами контент шифруется на всем пути между вашим устройством и устройством человека или людей, с которыми вы общаетесь. Оно защищает данный контент от вашего поставщика услуг, поставщика услуг другого участника и всех остальных на этом пути.2

    [Покажите видео, в общих чертах демонстрирующее разницу между шифрованием «клиент-сервер» и сквозным шифрованием, чтобы наглядно показать, где данные могут быть перехвачены. Хорошей отправной точкой может послужить видео на английском языке здесь.]

Г. Приложение для безопасного обмена сообщениями (15 мин.)

  1. Поделитесь с участниками названиями двух-трех безопасных приложений для обмена сообщениями, которые обеспечивают сквозное шифрование и, как правило, считаются безопасными: Telegram, Signal и WhatsApp.

    Упомяните, что хотя ни одно приложение не может гарантировать, что никто не сможет отслеживать или перехватывать ваши цифровые разговоры и переписку, участникам следует выбрать приложение, которое минимизирует риск и отвечает их потребностям.

    Если участники спросят о безопасности других популярных приложений для обмена сообщениями, объясните, что при выборе такого приложения необходимо учитывать целый ряд критериев. Сайты, подобные этому, могут быть полезны при рассмотрении различных критериев для популярных приложений, таких как Signal, WhatsApp и Telegram. Однако будьте осторожны, поскольку эти приложения постоянно меняются. То, что вы рекомендуете в 2020 году, может отличаться от того, что вы будете рекомендовать в 2021 году или позже.

  2. Опишите процесс, который поможет участникам выбрать приложение или сервис для безопасного обмена сообщениями. Отправной точкой должна быть матрица рисков, которую они разработали ранее. Эти риски следует сравнить с различными платформами, чтобы выявить платформу, обеспечивающий максимальный уровень защиты.

    Один из возможных процессов для выбора безопасного приложения или сервиса выглядит так:

    1. Выберите критерии, важные для пользователя

    2. Присвойте каждому выбранному критерию определенное количество баллов

    3. Создайте таблицу с критериями в верхней строке (столбцы) и приложениями в первом столбце (строки).

    4. Заполните таблицу

    5. Каждое приложение получает сумму баллов по каждому из критериев, которым оно отвечает

    6. Создайте рейтинг на основе полученных результатов

      [Повторно разработайте графическую модель для обеспечения пошагового процесса согласования профиля рисков организации с конкретной платформой].

  3. Проведите практическую демонстрацию: покажите участникам, как установить приложение для безопасного обмена сообщениями, которое вы считаете наиболее подходящим для данной аудитории, как отправить сообщение и/или начать звонок, и как включить двухфакторную аутентификацию.

Д. Правовые ограничения инструментов шифрования и VPN (5 мин.)

  1. На основе заранее собранной информации сообщите участникам о правовых ограничениях на использование шифрования и/или VPN (если таковые имеются) в стране (странах), где они работают или куда часто ездят. В этом могут помочь такие сайты, как этот.

Е. Использование VPN (дополнительный модуль, 10 мин.)

  1. Расскажите участниками, что хотя шифрование и скрывает контент ваших разговоров и переписки, оно не может скрыть тот факт, что вы ведете общение, с кем вы общаетесь и как часто вы это делаете. Объясните, что такое метаданные и как много информации они могут раскрыть.

  2. Скажите участникам, что если они хотят скрыть весь свой сетевой трафик от киберпреступников, в этом им может помочь VPN. Кратко поясните, как работает VPN, используя следующую аналогию: VPN предлагает максимально возможный прямой, скрытый «кабель» для связи между вами и теми, с кем вам нужно обмениваться цифровой информацией. В этом смысле VPN обеспечивает дополнительный уровень защиты ваших разговоров и переписки — и этот уровень «шире», чем уровень, обеспечиваемый только шифрованием. Недостатком использования VPN является то, что провайдер также будет знать все о ваших разговорах. Это означает, что провайдера необходимо выбирать тщательно.

  3. Упомяните, что, хотя на рынке существует множество VPN-сервисов, важно использовать только те, которые считаются безопасными и заслуживающими доверия. Вместо того чтобы защищать вашу переписку, ненадежный VPN-сервис может подвергнуть ваши сообщения и данные еще большему риску перехвата.

  4. Порекомендуйте два-три надежных VPN-сервиса.

    [Такие сервисы, как ProtonVPN и TunnelBear, были полезны в прошлом. Тем не менее, ознакомьтесь со статьей EFF здесь, чтобы объяснить, что при выборе провайдера необходимо учитывать множество факторов. Также имейте в виду, что сервисы постоянно меняются, как должны меняться и ваши рекомендации. Не забудьте продемонстрировать, как работает выбранный VPN-сервис.]

Ж. Подведение итогов (5 мин.)

  1. Кратко опишите практические навыки, которые участники должны были освоить в ходе занятия.

  2. Спросите участников, есть ли у них какие-либо вопросы. По возможности ответьте на вопросы или отошлите задавших их участников к онлайн-ресурсам, если вопросы не интересны остальным.

  3. Раздайте дополнительные информационные материалы или раздайте ссылки на электронные версии с пошаговыми практическими руководствами по наиболее распространенным техническим вопросам, с которыми могут столкнуться участники.