重要性需要被感知而不是被介绍

  • 上篇文章中我们强调了*联合*。让技术社区与公民社会组织、权利组织、反抗社区、公益慈善事业等团体密切合作是非常必要的,不论是安全知识补充、应对威胁的快速响应、还是磨练技能的渗透测试,技术社区将带给社会运动和任何一种反抗者以绝对切实的力量。中国在这种有效联合方面所呈现的缺憾是完全不合理的……为什么?

在国际上,任何互联网权利组织都会告诉你,活动家、异议人士、记者和边缘社区,是在线安全协助的重点,技术社区应该准确嵌入到这些组织中以便提供稳定且可靠的帮助。但是在中国,技术社区目前为止所思考的问题很大程度上仍然是如何才能“引起人们对安全问题的关注”,而不是具体的协作效率。

这是非常滞后的。要知道,当权者一直在以技术作为武器对付我们、使用互联网前所未有的强大监视能力压制我们的一切行动,针对技术问题的解决方案只能是技术问题,如果反抗者不能做到道高一丈,注定会出师未捷,在基本层面上失去机会。

至少从 2009 年也就是十年前开始 — — 阿拉伯之春就同时展示了在线民主和人权运动的几乎所有可能性和脆弱性 — — 数字安全培训师和专家立刻启动以帮助世界各地的在压迫性或其他危险环境中工作的人权活动家。

我们在《为自由而战》系列中已经分析了很多著名的变革运动,关于它们如何有效地利用了互联网,并且更重要的是,巧妙地避免了来自互联网的威胁。

在美国,民间社会面临的数字安全需求不断增长,基金会往往需要追赶这一进程,而没能在防御层面起到充分的作用。结果是,即使一个组织准备好了自己来提高其数据基础设施的安全性,它也很少有资源以任何有意义的方式实现这一计划。在中国很大程度上也一样。

虽然很多社区一直以来都在面对强大的政府监视和形形色色的骇客攻击(想想联邦调查局和小马丁路德金,或者每一代人对民主活动家和举报人的攻击)但对非营利部门数据安全的威胁更加广泛,可能比以往任何时候都严重。

移民和海关执法局(ICE)正在获得以前仅限于执法的监视工具;黑客企图通过复杂的网络钓鱼攻击破坏网络中立倡导;墨西哥反腐败组织的负责人被政府支持的间谍软件攻击;成千上万的组织将敏感的用户数据存储在不安全的数据库中,这些数据库很容易被黑客攻击暴露匿名捐赠者的信息,反之亦然,对捐助者的党派攻击会给他们的受助者及其任务带来风险

在中国一定程度上威胁没有如此明显,最常见的状况是由于缺乏最基本的安全知识而没能做到有效匿名,导致被警方在现实中识别并受到惩罚。加之,中国没有反抗组织和群体,而异议人士是非常勇敢的,他们中很多人以“不怕喝茶”为精神,拒绝匿名保护。也因此技术社区难以起到嵌入的作用。

我们一直在撰写各种保护知识和技巧的文章,向敏感人群解释加密的消息服务、安全电子邮件的重要性、社交工程学的攻防技巧、如何保护社交媒体的帐户和宣传能力等等,这些都是必不可少的。但事实却是,有关如何使用 Signal 、保护数字隐私的大量指南、以及诸如“使用 Tor”的多项须知等等广泛声明,可能难以被非技术人士理解,更不用说采取行动了。这就形成了一个根本性的错位

与此同时,慈善组织也很难了解究竟什么样的技术专家才是活动家、边缘社区、记者和人权维护者最需要的。

这些差距显而易见。但是没有人应该为这个差距负责。现有的数字安全资源通常是旨在帮助个人确保他们的数字足迹避免被识别所需的工具,或者在发生紧急情况和关键威胁时做出的响应。教授整个组织及其资助者 — 如何深入了解数字态度和习惯,如何分析敏感用户、组织和以任务为中心的数据使用、保留和共享,将更加困难。

我们要的并不是亲自动手帮助敏感人士安装一个 Whonix 就完工了,而是最终能让人们知道遇到紧急状况时应该怎么办,尤其是如何形成结盟网络,让求助变得更容易。也就是,形成能够让自己变得更强大的思考方式。

这就是为什么在这个对民间社会数字基础设施的攻击日益复杂的时代,我们需要支持在组织层面进行更大的能力建设。

无论一个组织是否有5、50或500名员工,改变习惯和改造旧系统和政策都是困难和昂贵的。改造资助者的传统思维方式会能起到作用。根据我们在解决数字安全需求和进行必要的重大变革以在线保护自己方面的经验,以下是民间社会组织及其资助者可以采取的四个步骤,以开始解决这一迫切的需求。

1. 将数字安全作为所有工作的基础

Equifax 违规行为和剑桥分析公司等选举操纵,大大地提醒了人们在线数据很容易受到各方的攻击。许多资助者和民间社会组织都知道他们需要采取行动,但他们不知道该怎么做或谁能提供帮助。

随着民间社会开始注意到这些差距,重要的是要理解数字安全工作需要资源、能源和重点。与财政责任和强有力的治理一样,数字安全战略应该成为任何组织战略规划的一部分。

2. 对大数据负有重大责任

围绕研究员 Lucy Bernholz 提出的“ 数字公民社会 ”对话,在线进行的基于工作的工作带来了所有附带的好处和陷阱 — — 主要是因为每天都有越来越多的数据,像聚苯乙烯泡沫塑料一样,永远不会消失。

这些数据 — — 包括个人身份信息,如姓名、电话号码、电子邮件和邮寄地址 — — 不仅对善意的民间社会组织,而且对可能希望使用这些数据集监视个人的任何第三方都具有重要价值;想要揭穿 MeToo 努力或针对移民的个人或组织的攻击者经常试图识别访问组织的在线服务或社交媒体帐户的个人;最近剑桥分析公司的丑闻让人们越来越清晰地意识到,联邦机构可以访问任何看似“私人”的 Facebook 数据,当权者可以使用数据来增加他们对公共生活的束缚。

至少可以说,确保组织自身资产和信任第三方资产的需要给民间社会带来了巨大压力,以改善其安全服务 — — 这正是目前管理不善的地方。然而,更多的组织需要认真负责管理他们的数据。如果不这样做,他们会让数百万他们服务的人、参与支持者和整个机构面临风险。

3. 优先考虑“能力建设”

组织通常通过引入安全培训师和/或举办有关基础知识或全新策略的网络研讨会来响应感知到的数字安全威胁或实际攻击。

虽然这在事件响应方面通常是“触手可及”的,但通常只是培训和网络研讨会还远远不够。这种“快速解决方案”的缺点在于,随着数字和政治世界的不断快速变化以及数字安全领域的增长,新的威胁随时都在出现,并且组织面临的风险会不断变化。给定的硬件、软件、带宽和预算限制意味着简单地培训个人,而不能采用系统性的方法来处理组织的整体安全性,这使得解决动态目标(如网络漏洞)变得更加困难,

相反,我们都需要围绕能力建设进行越来越多的对话:解决结构性漏洞,避免在线对手轻松攻击您的组织。

这需要时间,但我们都可以通过将数字安全视为一个多阶段流程的能力加强建设工作以实现这一目标,包括:

1)全面了解您的组织的“威胁模型” — — 您面临的对手,他们可能想要的数据,以及面对攻击时的漏洞;

2)审核组织用于存储、共享和处理用户数据的特定系统,以及员工和成员使用的通信平台,网络和设备;

3)制定从头开始解决脆弱性的战略,而不是通过培训或一次性修复来零碎地解决。

非营利组织和受助组织,必需能在您的宣传和提案中包括数字安全计划。每个人,通过阅读知识、并与准备好的组织社区合作,开始或继续参与有关风险的对话,并在这个新的视野中等待与您的支持、建议和协作。

4. 将共同面对的威胁视为相互依赖的呼吁

最终,当我们采取上述步骤时,需要转变思路,将数字安全作为共同的目标和责任,而不是个人责任或“只有高风险群体”所承担的责任。这非常重要。

数字通信和服务的美妙之处在于它们可以帮助我们保持联系,削减成本,并以过去几代人梦寐以求的方式提供服务。但这也意味着我们深深地相互依存。无论是全球非政府组织,本地服务组织还是国家基金会,对我们的数据、支持来源或当地社区的威胁都会影响到我们所有人。考虑简单地违反基于云的电子邮件服务器,发布有关捐赠者、受助者或高危人群的信息。

在许多情况下,致力于种族平等、堕胎、移民、跨性别健康和家庭暴力的组织和运动正在取得重大进展。例如,媒体司法中心和 May First / People Link 最近推出了“捍卫我们的移动”项目,这是一个“数字自卫知识库”,可以解决有色人种社区所面临的具体威胁;全国消除家庭暴力网络安全网项目的重点是保持领先于家庭暴力幸存者面临的许多安全挑战;还有许多其他组织和网络在他们的队伍中拥有来之不易的专业知识,但如果他们的合作伙伴和捐助者不致力于解决他们自己的风险,技术社区和民间社会之间的信任将难以建立。

我们都不想成为我们自己、合作伙伴、资助者或我们服务对象的风险载体。为了防止这种情况发生,我们需要对我们的相互依赖保持切实,并共同努力保护我们的交叉社区免受这种联系和进步所带来的威胁。

广告

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据