IT Partner

Cybersecurity Campaign Playbook

 cloud app security, cloud security, office 365, защита ит-инфраструктуры, информационная безопасность

1. Формируйте культуру осведомленности об информационной безопасности:
Серьезно относитесь к вопросу кибербезопасности. На вас возложена ответственность заботиться о снижении рисков, обучать своих сотрудников и подавать пример для подражания. Регулярно проводите обновление и патчинг всех систем. Человеческая ошибка – самая распространенная причина нарушения безопасности. Фишинг все еще остается ключевым методом хакерских атак. Учите своих сотрудников проявлять осторожность в отношении подозрительных сообщений.

2. Пользуйтесь облаком:
Большой коммерческий облачный сервис – лучший вариант настраиваемой среды из всего, что вы можете себе позволить. Используйте пакет офисных служб на базе облака, который закроет все ваши функциональные потребности в плане офисных программ и послужит безопасной средой для хранения информации.

3. Используйте двухфакторную аутентификацию:
Установите 2FA для всех важных учетных записей, включая офисный пакет, любые другие службы электронной почты или хранилища, а также учетные записи в социальных сетях. В качестве второго фактора используйте мобильное приложение или физический ключ, а не подтверждения через смс.
Лучший способ снизить риск взлома (кражи) ваших паролей – использование диспетчера паролей. С его помощью можно генерировать и хранить длинные и случайные пароли, которые не нужно запоминать. Программа сделает это за вас. Если по какой-то причине вы не используете диспетчер паролей, пропишите «ЧТО-ТО ДЕЙСТВИТЕЛЬНО ДЛИННОЕ, КАК ЭТО СТРОКА», а не короткий набор символов, как «Th1 $». Вопреки распространенному мнению, длинную строку случайных слов без специальных символов взломать гораздо сложнее, чем короткий пароль, вроде «L0t $ 0f $ ymB01 $».

4. Используйте зашифрованные сообщения для конфиденциальной переписки и передачи материалов:
Используя в процессе конфиденциальной переписки и для передачи документов такие инструменты шифрования сообщений в телефоне, как Signal или Wickr, вы не оставляете возможности злоумышленникам перехватывать информацию при взломе вашей электронной почты. Технология шифрует данные, резко снижая вероятность того, что кто-то сможет прочитать ваши сообщения, даже если данные будут перехвачены.

5. Планируйте и готовьтесь:
Подготовьте план действий на случай, если ваша безопасность окажется под угрозой. Вы должны точно знать, к кому обратиться за технической помощью, а также знать свои юридические обязательства и быть в состоянии наладить максимально быструю коммуникацию внутри организации и за ее пределами.

Подход, используемый в пособии Cybersecurity Campaign Playbook

Это пособие по безопасности Cybersecurity Campaign Playbook было разработано группой экспертов из двух разных лагерей: специалистов в области кибербезопасности, а также политики и права. Оно предлагает простые и действенные способы противостояния растущей киберугрозе.
Киберпреступникам все равно, кого взламывать. От их действий страдают кампании любых уровней, не только президентские. Вы должны осознавать, что тоже являетесь их целью. Рекомендации, представленные в этом пособии, применимы повсеместно. Однако, в первую очередь, они предназначены для кампаний, у которых нет ресурсов для найма штатных сотрудников по кибербезопасности. Мы предлагаем базовые «строительные блоки» для формирования стратегии снижения рисков кибербезопасности. Особые технические знания для реализации таких рекомендаций не обязательны (хотя, некоторые наши предложения требуют привлечения ИТ-специалиста).
Это базовые рекомендации, а не исчерпывающий справочник для достижения максимально возможного уровня безопасности. Мы приветствуем подход, когда кампании, по возможности, привлекают квалифицированных специалистов в области ИТ и кибербезопасности, способных сделать профессиональный вклад в обеспечение безопасности.

Вступление

Кандидаты и кампании сталкиваются с огромным диапазоном проблем. Нужно постоянно организовывать различные мероприятия, набирать волонтеров, аккумулировать средства и соответствовать неумолимым требованиям современного медийного цикла. Каждый сотрудник должен быть готов к неприятным сюрпризам, начиная с мелких оплошностей и заканчивая атакой недоброжелателей в самый неподходящий момент. Кибератаки теперь также входят в этот список.

По мере того, как кампании втягиваются в процесс диджитализации, злоумышленники находят новые возможности вмешиваться в среду, создавать помехи в работе и воровать данные. В 2008 году китайские хакеры проникли в кампании Обамы и Маккейна и украли большое количество информации у обоих кандидатов. В 2012 году кампании Обамы и Ромни столкнулись с попытками взлома своих сетей и веб-сайтов. В 2016 году кибероперативы, которых, как считается, спонсирует Россия, украли и выудили десятки тысяч электронных писем и документов у сотрудников избирательной кампании демократов.

Последствия нарушения кибербезопасности могут быть очень существенными. Сами лишь известия о взломе данных и их медленное раскрытие могут отложить представление кандидата на месяцы. Злоумышленники, взломавшие веб-сайт кандидата, могут в любой момент украсть данные доноров. Кража таких личных данных спонсирующих лиц может повлечь за собой серьезную юридическую ответственность и стать причиной их отказа от дальнейшего участия в кампании. Разрушительные атаки, нацеленные на компьютеры сотрудников или критически важные серверы, могут замедлить работу кампании на несколько дней или даже недель. Устранение хаоса займет некоторое время и отвлечет ресурсы, которые так важны в разгар борьбы за пост президента или главы городского совета.

В обозримом будущем киберугрозы останутся реальной частью процесса нашей кампании. Выступая в роли передовой линии демократии, сотрудники кампании должны осознавать риски хакерских атак, разрабатывать стратегии максимального снижения таких рисков и реализовывать стратегии реагирования в момент, когда случается самое худшее. Несмотря на то, что ни одна кампания не может обеспечить идеальную безопасность, можно значительно затруднить хакерам попытки навредить кампании, выполнив всего нескольких простых шагов. По иронии судьбы наиболее изощренные хакеры в сфере государственных организаций и политики зачастую пользуются наименее изощренными методами атак. Они воруют данные людей и организаций, которые сами пренебрегают основными протоколами безопасности. Именно это стало основным поводом для разработки нашего пособия Cybersecurity Campaign Playbook.

Сегодня ответственность за кибербезопасность лежит на каждом участнике современной кампании. Человеческая ошибка всегда была основной причиной публичных кибератак. И кандидат, и руководители кампании должны внедрять в культуру своей организации понимание принципов безопасности. Решения, которые принимаю люди, так же важны, как и программное обеспечение, которое они используют. В будущем лучшие кампании будут иметь прозрачные стандарты в плане усердной работы, связи через сообщения, лояльности к команде и соблюдения четкого протокола безопасности.

Прежде чем переходить к нашим рекомендациям, давайте быстро сформулируем проблемы:
• среда, в которой работает ваша кампания;
• угрозы, с которыми, возможно, столкнется ваша кампания;
• важность управления кибер-рисками.

Угрозы, с которыми сталкиваются кампании

К сожалению для кампаний и для нашей страны в целом, иностранные политические противники часто полагают, что через нанесение вреда или помощь конкретному кандидату они смогут поспособствовать продвижению собственных национальных интересов. Они могут делать это разными способами: от создания хаоса и замешательства среди американских избирателей до наказания должностного лица, выступившего против них. Это может прозвучать как эпизод из триллера, однако в действительности сложная служба внешней разведки, киберпреступник или хактивист-противник кандидата может выбрать своей целью для атак вас или кого-то из участников вашей кампании.
Вот перечень возможных угроз, о которых должны знать менеджеры и сотрудники кампании.

КТО ВЫСТУПАЕТ В РОЛИ ХАКЕРОВ?

Кампании сталкиваются с угрозами взлома информации и нарушения кибербезопасности со стороны широкого круга возможных исполнителей. Хакеры-одиночки и киберпреступники не раз пытались скомпрометировать кампании в целях личной выгоды, дурной славы или ради банального желания проверить, смогут ли они это сделать. Другие государства извне представляют собой наиболее серьезную и постоянную угрозу. Во взломах кампании 2016 года были замешаны российские шпионские группы, известные как «Fancy Bear» (APT 28) и «Cozy Bear» (APT 29). Китайцы гораздо больше сфокусировались на сборе информации. Считается, что они принимали активное участие в президентских кампаниях 2008 и 2012 годов, но нет никаких доказательств того, что они передавали украденные материалы. Северокорейцы постыдно отомстили Sony Pictures Entertainment за создание фильма «Интервью», украв и придав огласке корпоративные электронные письма, а также удалив данные из их систем. Усиление напряжения в отношениях с США может спровоцировать новые атаки в будущем.

Управление кибер-рисками

Для лучшего понимания риска его следует разложить на три составляющие. Во-первых, это уязвимости: слабые места в вашей кампании, которые делают информацию уязвимой для кражи, изменения или уничтожения. Уязвимости могут быть связаны с оборудованием, программным обеспечением, процессами и уровнем бдительности ваших сотрудников. Кроме того, существуют реальные угрозы: другие государства, хактивисты и негосударственные группировки, которые могут использовать эти уязвимости в своих интересах. Риск появляется там, где есть уязвимости и угрозы. И, наконец, есть последствия – влияние злоумышленников, когда они извлекают выгоду от неослабленного риска.
Вы или ваша кампания мало что можете сделать для предотвращения самих угроз. Они являются результатом действия более крупных геополитических, экономических и социальных сил. Однако вы в силах снизить вашу собственную уязвимость, и тем самым существенно уменьшить шансы ваших противников на успех. Понижение уязвимости одновременно снижает риск. Вам решать, какие из них более важные, исходя из возможных последствий. Например, вы можете решить, что самое опасное, что может сделать хакер – это украсть отчет о самоисследовании вашего кандидата. Следовательно, вы выделяете дополнительные ресурсы на безопасное облачное хранилище, используете двухфакторную аутентификацию и ограничиваете доступ небольшим кругом людей. Вы можете решить сделать другие документы кампании более общедоступными и менее защищенными, поскольку они нужны большему количеству людей для выполнения своей работы. В таком случае их утечка не причинит большого вреда.

Существуют технические аспекты снижения рисков, но самое важное – соблюдать целостный подход. Будучи руководителем кампании вы должны принимать фундаментальные решения. Например, выбирать, у кого будет доступ к информации, какая информация будет хранится, а какая – сразу отсеиваться, сколько времени вы будете посвящать обучению своей команды правилам безопасности и как вы будете выполнять роль примера для других. Как профессионал по ведению кампаний, вы несете ответственность за управление рисками – как техническую, так и сугубо человеческую. Вам решать, какие данные и системы наиболее ценны и какие ресурсы стоит бросить на их защиту.

Безопасность вашей кампании

Наши рекомендации по безопасности построены по трем принципам:

1. Подготовка. Успех внедрения практически любой рекомендации из этого пособия зависит от того, насколько эффективно руководитель кампании выстраивает культуру бдительности. Такая культура минимизирует количество слабых мест в системе. Это означает установку четких принципиальных правил, которые соблюдаются по вертикали сверху вниз и наоборот.
2. Защита. Обеспечение защиты критически важно. Когда вы обнаружите, что у вас есть проблема с безопасностью – уже будет слишком поздно. Создание самой надежной защиты в рамках имеющегося запаса времени и денег – это ключ к снижению риска. Интернет и безопасность данных лучше всего работают поэтапно: не существует единой, пуленепробиваемой технологии или продукта. Сочетание нескольких основных мер может лучше защитить цифровую архитектуру кампании от взлома и делать ее более устойчивой в случае, если утечка данных все-таки произойдет.
3. Сопротивление. Сейчас кампании сталкиваются с врагами с постоянно растущим уровнем ресурсов и опыта. Даже самая бдительная культура и самая жесткая инфраструктура не могут предотвратить нарушений безопасности. Кампании необходимо заранее разработать план устранения нарушений безопасности, если они возникнут.

У одних кампаний есть больше времени и денег на кибербезопасность, чем у других. Вот почему наши рекомендации рассчитаны на два уровня защиты: «хороший» и «усиленный». Уровень «хороший» предлагает меры, необходимые кампании для обеспечения минимального уровня безопасности. Используя «хорошие» рекомендации лишь частично, вы все еще остаетесь уязвимыми. Вы всегда должны стремиться делать больше, насколько позволяют время, деньги и люди. Поэтому мы рекомендуем, по возможности, использовать все положения «усиленного» уровня. Если у вас есть ресурсы для получения авторитетной и обученной ИТ-поддержки, то такие инвестиции будут оправданы. Угрозы постоянно становятся все более изощренными. Профессиональные ИТ-услуги помогут вам выйти за рамки того, что предлагает эта инструкция, и быть в курсе последних угроз и решений.

Менеджмент

Руководители кампаний должны взять на себя ответственность за свою стратегию кибербезопасности. Однако большинство из них делегируют разработку и контроль заместителю или операционному директору. Важно, чтобы кибербезопасность была тесно интегрирована в работу отдела кадров и ИТ, поскольку эффективный наем персонала, подготовка оборудования и контроль разрешений имеют решающее значение для вашей стратегии. Многие небольшие кампании полагаются на волонтерскую поддержку ИТ и кибербезопасности. Вы можете использовать это пособие для обсуждения работы с привлеченными волонтерами. Главное – тщательно проверять таких добровольцев, готовых оказать поддержку, и внимательно контролировать доступ, чтобы эта поддержка со стороны волонтеров не создавала новых уязвимостей. Вы должны проверить, чтобы ответственный сотрудник кампании контролировал работу ИТ и выдачу разрешений на доступ к различным системам.

С чего начинать

Независимо от выбранной модели поддержки, кибербезопасность должна обеспечиваться с первого дня работы. Далее следует «ТОП 5 чек-листов» из жизненно важных мер. Проверьте, чтобы они выполнялись с самого начала, даже если в команде всего лишь один или два сотрудника. Далее как можно быстрее внедрите все остальные «хорошие» рекомендации.

Расходы

Многое из того, что мы здесь рекомендуем, бесплатно или доступно по очень низкой стоимости. Фактически, все, что входит в наш ТОП 5 – бесплатно, за исключением облачной платформы, которая будет стоить всего несколько долларов в месяц на одного сотрудника. Для проведения кампаний с обширной целевой аудиторией потребуется выделить достаточно ресурсов на оборудование и программное обеспечение для выполнения ответственной стратегии. Однако все это должно составлять лишь очень небольшой процент многомиллионного бюджета кампании в масштабе штата. Небольшие кампании смогут реализовать приведенные здесь рекомендации, потратив всего лишь от нескольких сотен до нескольких тысяч долларов (в зависимости от того, сколько сотрудников или волонтеров трудится над кампанией).

Любые ссылки на поставщиков и продукты даются в качестве вспомогательных примеров общих решений, но не являются истиной последней инстанции. Если у вас возникают проблемы при внедрении продуктов или услуг, рекомендуем обращаться напрямую к поставщикам, которые обычно оказывают техническую поддержку на уровне пользователей. Когда дело доходит до выбора продуктов и услуг, мы призываем каждую кампанию консультироваться со специалистом по кибербезопасности или проводить собственный независимый анализ, чтобы подобрать лучший продукт с учетом своих нужд.

Уязвимая среда кампании

Сегодняшние кампании – уникальные легкие цели. Они по своей сути являются временными и преходящими. У них нет времени или денег для разработки долгосрочных, проверенных стратегий безопасности. Новых сотрудников часто принимают на работу довольно быстро, не уделяя много времени на их обучение. Они могут приносить из дома собственное оборудование с вредоносными программами, которые на нем усыновлены. События развиваются быстро, ставки высоки, и людям кажется, что у них нет времени думать о кибербезопасности. Высока вероятность, что что-то пойдет не так.

В то же время кампании все больше полагаются на конфиденциальную информацию о избирателях, донорах и общественном мнении. Они также хранят на различных серверах конфиденциальные документы, такие как анализ оппозиции, исследования уязвимостей, документы проверки персонала, первые проекты политических документов и электронные письма. Риски потенциальной атаки увеличиваются, равно как и масштабы последствий.

ОПАСНОСТЬ АТАКИ

Только представьте такую картину: до дня выборов остался всего лишь месяц, и гонка проходит очень напряженно. Вы приходите в штаб раньше обычного, включаете кофеварку, подходите к своему столу и запускаете компьютер. Появляется черный экран, затем ужасное изображение вашего кандидата, за которым следует сообщение. Ваши жесткие диски были очищены. Вся собранная вами цифровая информация – записки, целевые списки, балансы – исчезла. Вы читаете, что за возможность вернуть все обратно вам придется выложить миллион биткойнов и отказаться от важной политической позиции.

Неизвестная группа хакеров взломала ваш компьютер несколько месяцев назад и незаметно ворует электронные письма, стратегические меморандумы, адреса доноров и номера социального страхования сотрудников. Киберпреступники потратили недели на поиски «грязного белья» и создали простой в использовании веб-сайт, посвященный исключительно распространению ключевых компрометирующих фактов. На виду – длинная книга «самоисследования» вашего кандидата. На данный момент веб-сайт кампании не работает, ее аккаунты в социальных сетях заблокированы за распространение непристойных изображений, и вокруг нет ни одного работающего компьютера.

Шаги по обеспечению безопасности вашей кампании

ШАГ 1: Человеческий фактор

Кибербезопасность – это фундаментально проблема человеческого, а не технического характера. Лучшие технологические решения в мире не принесут никакой пользы без правильной реализации или без регулярного обновления по мере развития технологий. Успешная практика внедрения кибербезопасности напрямую зависит от выстраивания культуры осведомленности о безопасности.

Уровень защиты ХОРОШИЙ: что нужно делать

1. Выстройте сильную культуру информационной безопасности, которая делает акцент на безопасности как на стандарте успешной кампании. Подобно тому, как сотрудников кампании проинструктировали не принимать незаконную финансовую помощь, сотрудники должны знать, что нельзя переходить по ссылкам или открывать вложения в электронных письмах от неизвестных отправителей.
• Прием на работу: Проводите базовое обучение информационной безопасности при приеме на работу новых сотрудников. Вы можете подготовить специальный раздаточный материал для персонала на тренингах.
• Тренинги: сделайте безопасность частью всех ваших текущих тренингов для персонала, таких как выездные семинары для старших сотрудников или тренинги GOTV. Обеспечьте дополнительное обучение для тех, кто занимает ответственные должности, например, для кандидатов, сотрудников прессы, старшего персонала и для всех, кто имеет права системного администратора в вашей сети. Менеджеры должны требовать, чтобы настройки безопасности наиболее важных людей в кампании, включая кандидата, проверял кто-то из ИТ-специалистов (это может быть и сам менеджер).
• Быть примером для других: руководящий персонал кампании и сам кандидат должны выполнять роль лидеров, выступая в пользу кибербезопасности во время тренингов. Руководители должны периодически подчеркивать важность кибербезопасности для младших сотрудников на собраниях и при общении по телефону. Тренинги проводят не только технические специалисты. Менеджер кампании или операционный директор могут более эффективно доносить информацию именно потому, что их не считают «технарями».

2. Приучайте и обучайте своих сотрудников остерегаться фишинга. Общее число фишинговых атак на кампании растет, и они продолжают быть главным методом взломов для хакеров. Приучите своих сотрудников с осторожностью относиться к любым электронным письмам, в которых запрашивается информация или предлагается нажать на ссылку, чтобы сбросить свои учетные данные. Изощренные фишинговые атаки могут исходить от поддельных или скомпрометированных отправителей, которые выглядят как легальные. Призывайте сотрудников сообщать вам или вашим ИТ-специалистам о всем подозрительном. Чем больше от работников буде поступать подобных запросов, тем выше будет ваша уверенность в их бдительности и больше собранных сведений. Общее правило на практике должно сводиться к призыву: «думай, прежде чем кликнуть». Однако мы включили целых три ключевых момента, о которых вы можете напоминать своим сотрудникам, проводя первые или повторные тренинги. При обучении следует уделять особое внимание передовым методам, таким как «наведение курсора» на ссылку для определения действительного URL-адреса, расширение сведений об email для подтверждения адреса электронной почты отправителя и использование другого канала связи (к примеру, быстрый телефонный звонок для подтверждения подлинности отправителя). Содержимое электронной почты 2FA – еще один важный способ предотвратить целевую фишинговую атаку, ведущую к компрометации учетной записи. Простого ввода вашего имени и пароля будет недостаточно для доступа к вашей учетной записи. В рамках строгого соблюдения культуры безопасности кампании руководящие сотрудники должны признавать и хвалить всех, кто сообщает о подозрительном поведении в их системе или признается, что нажимал на потенциально вредоносную ссылку.
• Фишинг может сработать и по телефону! Сотрудники ни в коем случае не должны делиться информацией, переводить деньги или передавать что-либо еще по телефону, если они не знают точно, кто им звонит. Сообщите персоналу об угрозе и посоветуйте прислушиваться, как звонящий представляется, а также задавать дополнительные вопросы, на которые не сможет ответить посторонний человек. могут не ответить. Вы можете легко проверить своих сотрудников фишинговыми звонками – вашим друзьям это развлечение точно понравится!

3. Проведите тщательную проверку персонала, волонтеров и стажеров – всех, кто запрашивает доступ к информации о кампании. Это позволит не допустить передачу учетных данных тем, кто хочет украсть или саботировать ваши системы. Установите критерии определения конфиденциальной информации и правила ее использования. Например, вы можете классифицировать все опросы, исследовательские материалы, стратегические меморандумы и связанные этим электронные письма в категорию «конфиденциальные». Запретите передачу конфиденциальной информации по каналам связи, которые не контролируются и не защищены кампанией. Вы можете потребовать, чтобы данные передавались только с помощью зашифрованных сообщений (см. Шаг 2).

4. Убедитесь, что консультанты и поставщики, имеющие доступ к конфиденциальной информации, пользуются безопасной электронной почтой и хранилищем (см. Шаг 2). Если у вас возникнут сомнения – потребуйте, чтобы поставщики и консультанты использовали учетную запись в вашем облачном офисном пакете (см. Шаг 2).

5. Контролируйте доступ к важным онлайн-сервисам (таким, как официальные учетные записи кампании в социальных сетях), чтобы не допустить их использование посторонними лицами. Проконтролируйте, чтобы те сотрудники, которые прекращают работать над кампанией, больше не имели доступа к аккаунтам, связанным с кампанией. Вы можете легко сделать это, используя инструмент управления учетными записями в социальных сетях, который действует как шлюз для всех ваших учетных записей. Если кто-то покидает кампанию, вы должны немедленно отключить его аккаунт.

«Думай, прежде чем кликнуть»

ЗАДЕРЖИВАЙТЕСЬ, прежде чем кликнуть на ссылку в электронном письме, и проверьте, с какого адреса пришло письмо. Задумайтесь, не вызывает ли оно у вас подозрений.
ПОДТВЕРЖДАЙТЕ, что запрос на информацию, деньги, личную информацию, пароли, документы и т. д. является легитимным. Для этого свяжитесь с запрашивающей стороной, в идеале лично, или хотя бы по телефону. Никогда не предоставляйте свой пароль или личную информацию по ссылке.
СООБЩАЙТЕ своему руководству обо всем, что вызывает у вас подозрения, пересылая любое сомнительное электронное письмо. Обязательно ставьте на письме отметку как «подозрительное» (например, в заголовке), чтобы никто другой случайно не обработал вредоносное письмо.

УЛУЧШЕНО: выполните следующий шаг

✔ Такие программные продукты, как Phishme и KnowBe4, могут обучать ваших сотрудников, отправляя им поддельные фишинговые электронные письма. Это безопасный, быстрый и эффективный способ узнать, с какими сотрудникам возникает риск перехода по ложной ссылке, и кого следует проконсультировать и обучить дополнительно. Многие из этих продуктов также отфильтровывают некоторые попытки фишинга из вашей электронной почты.
✔ Если у вас есть ресурсы, наймите специализированного ИТ-специалиста для управления системами в вашей кампании, а также эксперта по ИТ-безопасности, который поможет защищать, поддерживать и контролировать цифровую инфраструктуру вашей кампании. Он может проводить регулярные тренинги по безопасности и тестировать ваших сотрудников и системы, а также настраивать готовые решения для обеспечения безопасности.
✔ Заключите договор с фирмой, которая занимается обеспечением кибербезопасности. Вам подберут и предоставят решения по безопасности, проанализируют состояние вашей защиты и / или проверят ваши системы на предмет взлома. У вас должны быть контакты фирмы, с которой можно будет связаться, в случае взлома и для оказания срочной помощи в реагировании на инциденты. Это альтернатива найму штатного специалиста по ИТ-безопасности. Анализируйте рынок услуг и выберите фирме с хорошей репутацией. Далеко не все фирмы, которые занимаются кибербезопасностью, обеспечивают одинаково высокий уровень обслуживания.

РАБОТА С ПРОФЕССИОНАЛАМИ В СФЕРЕ БЕЗОПАСНОСТИ

Решив начать работать со специалистом по безопасности, как вы можете оценить уровень человека или фирмы? Будь то личные рекомендации или положительные отзывы, важно избегать дорогостоящей, но неэффективной поддержки. Во время собеседования с потенциальными специалистами по безопасности спросите, как они отреагировали на прошлые инциденты безопасности и как они помогли другим наладить более безопасную работу. Ваш соответствующий партийный комитет или доверенные профессионалы кампании могут порекомендовать варианты на выбор. Учитывайте, что на безопасность очень сильно влияет внутренняя культура. Даже самые лучшие рекомендации не дадут результатов, если не будут соблюдаться базовые правила (т.е. только лишь наем сторонней фирмы не решит ваших проблем).

ШАГ 2: Внутренняя коммуникация

Не все способы связи одинаково безопасны, поэтому используйте наиболее безопасный из доступных. Руководство кампании должно установить стандарт, который поощряет личные беседы, когда это возможно, и препятствует ненужным или лишним письмам. Будь то телефонные звонки, текстовые сообщения или электронная почта, разные продукты и услуги предлагают разные уровни защиты. Поэтому изучайте все системы, прежде чем использовать их в своей кампании.

Уровень защиты ХОРОШИЙ: что нужно делать

ЧТО ТАКОЕ ОБЛАКО?

«Облачные сервисы» обеспечивают управление и доступ к информации, хранящейся удаленно в интернете. Они работают на внешних серверах, управляемых сторонними компаниями. Сюда входит множество распространенных сервисов, которыми вы, возможно, уже пользуетесь, например, Gmail или Dropbox. Полезно хранить информацию в облаке, а не на вашем персональном компьютере, потому что у топовых поставщиков облачных услуг на рынке достаточно финансовых средств и опыта, чтобы сделать свои серверные фермы более безопасными, чем жесткий диск вашего ноутбука или офисный сервер. Это, по сути, как разница между хранением наличных денег под матрасом и в сейфе банка. Использование надежных облачных сервисов дает дополнительную защиту от потери данных в случае выходя из строя или взлома отдельного устройства. Облачное хранилище – это функция, которая входит в комплексные службы безопасности офиса, такие как GSuite и Microsoft365. Другие услуги включают Dropbox или Box.
✔ Используйте облачный офисный пакет, который обеспечивает безопасную переписку по электронной почте, создание документов, чат и совместное использование файлов, например GSuite или Microsoft365. Для GSuite Enterprise выберите «Расширенную защиту», а для Office365 используйте E5. У обоих пакетов будут встроены настройки для большей безопасности. Например, GSuite включает Google Диск для обмена файлами, Gmail для хостинга электронной почты, Google Hangouts для чата и Google Docs для обработки текста, электронных таблиц и презентаций. Microsoft365 предлагает OneDrive / SharePoint для обмена файлами, Outlook / Exchange для электронной почты, Microsoft Teams для чата и Microsoft Office для обработки текста, электронных таблиц и презентаций. Облачные системы, которыми управляют крупные фирмы, лучше защищены, чем любые серверы, которые вы могли бы установить в своей кампании. Есть бесплатные версии обоих продуктов, но платные версии предоставляют вам гораздо больше административных возможностей. Программа расширенной защиты Google обеспечивает дополнительную защиту от целевых сетевых атак, таких как фишинг (это доступно для их пользовательских учетных записей Google/Gmail). Благодаря Protect Your Election от Google предлагается также бесплатная услуга по защите вашего веб-сайта от отключающих атак.

Используйте самые безопасные системы связи

Используйте сервисы зашифрованных сообщений, такие как Signal, Wickr, особенно для передачи сообщений, обмена документами и телефонных звонков. Во многих кампаниях требуется, чтобы конфиденциальная информация передавалась только с помощью зашифрованных сообщений. Однако, при желании, вы можете использовать такие сервисы для всех коммуникаций (это особенно удобно для людей с высоким уровнем риска, как, к примеру, кандидат). Signal и Wickr позволяют автоматически удалять сообщения, за счет чего риски снижаются.
Отключите функцию архивирования для служб обмена сообщениями, таких как Google Chat и Slack, чтобы переписку в старых чатах со временем нельзя было украсть. Для этого необходимо войти в «настройки» и отрегулировать сроки «политики хранения». Некоторые службы требуют, чтобы вы делали это для настройки каждого разговора в чате. Мы рекомендуем хранить сообщения чата не дольше 1 недели.

Защитите свою электронную почту

Включите в своем почтовом приложении автоматическое удаление старых писем, чтобы уменьшить количество писем, которые потенциально могут быть украдены. Обычно для этого требуется войти в «настройки» и внести изменения в «политику хранения» установив более короткий период. Чтобы электронные письма не попадали в папку «удаленных элементов», настройте параметры для автоматической очистки папки «удаленные элементы» через определенный промежуток времени. Мы рекомендуем хранить электронные письма не дольше 1 месяца.

h3.Защитите личные аккаунты

Кампании никогда не должны запускаться через персональные аккаунты. Однако злоумышленники для взлома нацелены на личные учетные записи, поэтому попросите ваших сотрудников использовать надежные пароли и двухфакторную аутентификацию для своих личных учетных записей (это упоминается в раздаточных материалах для персонала).

ЧТО ТАКОЕ ШИФРОВАНИЕ?

Шифрование – это способ кодирования информации в процессе ее передачи между пользователями или хранения, чтобы ее не мог прочитать никто, кроме предполагаемого получателя. Представьте себе это так: пользователь «шифрует» данные, когда отправляет их, и только предполагаемый получатель имеет ключ для их расшифровки. Использование шифрования – рациональное решение, особенно для передачи конфиденциальной информации. Даже если злоумышленник украдет данные, маловероятно, что он сможет их прочитать. Большинство приложений, использующих шифрование, таких как Signal или Wickr, упрощают процесс. Ноутбуки или облачные системы хранения также используют шифрование.

ШАГ 3: Доступ к учетной записи и управление

Один из самых сложных аспектов безопасности – ограничить доступ посторонним. Это означает предотвращение доступа к вашим данным злоумышленников, а также скрытие от других участников вашей кампании информации, которая им не нужна. Некоторые из приведенных ниже рекомендаций могут показаться сложными в исполнении, однако хакеры больше всего рассчитывают на тех, кто ценит удобство превыше безопасности.

ЧТО ТАКОЕ ДВУХФАКТОРНАЯ АУТЕНТИФИКАЦИЯ?

Двухфакторная аутентификация – это второй уровень безопасности, который требует от пользователя предоставления дополнительных учетных данных помимо своего пароля. Второй фактор имеет решающее значение, потому что, если даже ваш пароль будет украден, злоумышленник все равно не сможет войти в вашу учетную запись. Ваш пароль – это то, что вы знаете, а второй фактор – это то, что у вас есть, например, код, созданный приложением, физический ключ или даже что-то биометрическое, например, отпечаток пальца.

Уровень защиты ХОРОШИЙ: что нужно делать

Требуйте двухфакторную аутентификацию (2FA) во всех системах и приложениях. Избегайте текстовых сообщений (SMS) для двухфакторной аутентификации, потому что злоумышленники могут легко клонировать номер телефона и получить доступ к текстовым сообщениям. Есть несколько приложений 2FA, которые справляются с задачей так же хорошо, как и текстовые сообщения. Например – Google Authenticator, Microsoft Authenticator и Duo Mobile. Вы также можете использовать физический ключ FIDO («быстрая идентификация в интернете»), который вставляется в ваш USB-накопитель, например, Yubikey или Feitian. По мере того, как злоумышленники усовершенствуют свои методы, мы наблюдаем новейшие техники атак, используемые для фишинговых кодов второго фактора, отправляемых пользователям. Мы настоятельно рекомендуем использовать физические ключи безопасности для двухфакторной аутентификации, поскольку они не уязвимы для фишинга. Веб-сайт TwoFactorAuth.org – это полезный справочник по службам, которые предлагают и не предлагают 2FA.

Пароли

✔ Убедитесь, что никакие системы не используют имена пользователей или пароли по умолчанию. Это ошибка, которую часто упускают из виду. Убедитесь, что у каждой системы и каждого пользователя есть собственное уникальное имя пользователя и пароль.
✔ Требуйте установку надежных паролей. Как мы отмечали ранее, «создавайте длинные и надежные пароли». Современные вычислительные возможности позволяют взломать семизначный пароль за миллисекунды. Взлом пароля из 20 или даже 30 символов займет гораздо больше времени. Прописывайте строку из слов, которую вы легко запомните.
✔ Используйте разные пароли для разных учетных записей, чтобы хакер не смог взломать несколько учетных записей в случае кражи одного пароля.
✔ Если к вам кто-то обращается с просьбой сообщить пароль или сменить его, потребуйте, чтобы запрос был сделан лично или через видеочат. Проверяйте, чтобы это действительно был запрос от реального сотрудника кампании или волонтера. Обменивайтесь паролями только лично или в короткоживущих зашифрованных сообщениях. Никогда не сообщайте пароли по электронной почте и не храните / не распространяйте через систему службы поддержки.
✔ Пользуйтесь менеджерами паролей, такими как LastPass, 1Password или Dashlane, которые помогут легко управлять большим количеством длинных и надежных паролей. Проверьте, чтобы в вашей системе управления был установлен длинный надежный пароль и двухфакторная аутентификация. В настоящее время мы не рекомендуем использовать встроенные в браузеры менеджеры паролей. Зачастую они менее безопасны, чем эти автономные менеджеры.
✔ Создайте отдельные учетные записи для администраторов и пользователей и строго ограничьте доступ к учетным записям администраторов. Администраторы также должны иметь две отдельные учетные записи кампании: одна используется только для их административных обязанностей, а вторая служи стандартной учетной записью для всех остальных операций кампании. Это снизит вероятность того, что злоумышленник сможет взломать учетную запись администратора, получив доступ ко всей сети.
✔ Периодически проверяйте, у кого есть доступ к разным устройствам и сетям. Немедленно блокируйте доступ людям, которые покинули кампанию. Сразу же меняйте пароли, если обнаружена подозрительная активность.
✔ Используйте зашифрованные сообщения для передачи конфиденциальной информации. Федеральное правительство подтвердило наличие «скатных» машин, которые могут перехватывать сотовые данные, особенно в районе Вашингтона, округ Колумбия. Это еще одна причина использовать в коммуникации специальные приложения для обмена зашифрованными сообщениями. Их невозможно прочесть даже в случае перехвата.
✔ Контролируйте все аккаунты кампании, сотрудников и связанные с ними аккаунты в социальных сетях. Важно выявлять факты взлома сразу и быстро на них реагировать. В соответствии со схемой «Подготовить, защитить, настоять» руководство кампании должно разработать план реагирования на этот сценарий. Этот план реагирования должен включать в себя поиск в каждой социальной сети подходящих контактных лиц, с которыми можно связаться в случае взлома учетных записей кампании.

МЕНЕДЖЕРЫ ПАРОЛЕЙ

Менеджеры паролей – это способ хранить, извлекать и генерировать пароли. Некоторые даже предлагают автоматически заполнять строку пароля на страницах входа в систему. Менеджер паролей требует для входа в систему собственный пароль – единственный, который вам необходимо запомнить. Риски, конечно, все же есть. Если кто-то взломает ваш менеджер паролей (такое уже бывало) – этот человек заполучит все ваши пароли. Но этот риск практически всегда перекрывается намного большим преимуществом надежных уникальных паролей для всех ваших учетных записей. Для кампаний иногда есть смысл внедрять менеджеры паролей для учетных записей с несколькими пользователями, поскольку администратор может безопасно предоставить доступ к ним.

УЛУЧШЕНО: выполните следующий шаг

Создавайте профили пользователей для разных типов сотрудников кампании, которые автоматически предоставляют необходимый уровень доступа. Разным категориям сотрудников – стажерам, полевым сотрудникам, руководителям кампании – нужен доступ к разным ресурсам. Наличие заранее определенных профилей гарантирует, что люди получают доступ только к тому, что им нужно для работы.

АДМИНИСТРАТОРЫ

Говоря языком ИТ, «администратор» или «админ» имеет возможность предоставлять людям доступ или контроль над системами или информацией. Например, в роли «администратора» системы электронной почты вы можете создавать учетные записи, изменять пароли и устанавливать такие требования, как длина пароля и двухфакторная аутентификация для всех учетных записей. В офисном пакете, таком как GSuite или Microsoft 365, вы также можете создавать группы, такие как «Полевая группа» или «Коммуникационная группа». Работа администратора действительно важна. Если он все правильно сделает, информация будет доступна только тем, кто в ней нуждается, что очень важно для безопасности. Следовательно, решение о том, кто получит права администратора, также является критически важным. Только несколько человек с высоким уровнем доверия могут предоставлять другим доступ к информации. Если сотрудник с привилегиями «админ» покидает кампанию – обязательно немедленно отметите все его привилегии!

ШАГ 4: Устройства

Каждое физическое устройство в вашей кампании – от сотового телефона, планшета или ноутбука до маршрутизатора, принтера или камеры – представляет собой потенциальный путь атаки на вашу сеть. Хороший план кибербезопасности попытается обеспечить контроль доступа к устройствам, в них и из них. Вы можете контролировать доступ к устройствам, следя за тем, чтобы с ними всегда правильно обращались и учитывали их. Вы контролируете доступ к устройствам с помощью двухфакторной аутентификации и надежных паролей. Вы управляете контентом на устройствах с помощью шифрования и политик, определяющих, как вы храните данные (т. е. храните информацию в облаке, а не на машинах).

Уровень защиты ХОРОШИЙ: что нужно делать

✔ Всегда используйте самую последнюю доступную операционную систему (ОС), поскольку обновления системы регулярно включают исправления для последних уязвимостей. По возможности настройте параметры устройства для автоматической установки этих обновлений. Поручите кому-нибудь регулярно проверять, все ли в порядке.
✔ Используйте автоматическую облачную службу резервного копирования, чтобы уменьшить влияние потери данных в случае утери или кражи устройства. Примеры включают Backblaze и CrashPlan.

Физический доступ к устройству

✔ С самого начала руководство кампании должно обеспечить среду, в которой люди серьезно относятся к физической безопасности своих устройств – потеря устройства может открыть злоумышленнику доступ к важной информации, которая может быть использована для нанесения ущерба кампании.
✔ Хотя многие кампании не могут позволить себе приобретать новые устройства, всегда лучше по возможности покупать новое оборудование (особенно компьютеры и телефоны). Как минимум, вы должны предоставить новые устройства персоналу, который работает с конфиденциальными данными.
✔ Если сотрудники используют свои собственные компьютеры и телефоны, установите политику «Принеси свое собственное устройство» (BYOD), которая реализует строгие методы обеспечения безопасности (см. Раздел «Защита конечных точек» ниже).
✔ Участники кампании НЕ должны использовать личные учетные записи электронной почты или устройства, которые не были защищены политикой BYOD для бизнес-целей кампании. Это касается и электронной почты, социальных сетей. Любая важная информация, которая находится вне устройств или систем, контролируемых кампанией, уязвима для атак. Руководство должно постоянно напоминать, что данные кампании не должны попадать в личную электронную почту и незащищенные компьютеры.
✔ Немедленно сообщайте об утерянных устройствах. Требуйте устанавливать по умолчанию настройки, которые позволят удаленно чистить данные на всех устройствах.
✔ На случаи проигрыша или выигрыша кандидата должны быть готовы планы, что дальше произойдет со всеми данными, аккаунтами и устройствами по окончании кампании. В том числе следует обдумать, как можно защитить или стереть данные на аппаратном уровне. ✔ Переформатирования жесткого диска недостаточно для защиты ваших данных. Остаточные данные о переформатированных или утилизированных дисках можно получить с помощью имеющегося в продаже программного обеспечения для криминалистической экспертизы. ✔ Чрезвычайно конфиденциальные данные следует размагничивать или расплавить. Непосредственные последствия кампании – особенно уязвимый период.

h3, Цифровой доступ к устройствам

✔ Измените пароли и настройки по умолчанию на всех устройствах. Многие новые устройства поставляются с установленным по умолчанию паролем, который действительно легко угадать. Также отключите гостевую учетную запись, если она есть на устройстве.
Включите автоматическую блокировку для телефонов и компьютеров через две минуты и потребуйте пароль или идентификатор отпечатка пальца для разблокировки.

Контент на устройствах

✔ Требуйте обязательного шифрования данных на всех устройствах (компьютерах и телефонах). Это гарантирует, что утеря устройства не означает компрометацию его содержимого. Примеры включают FileVault для Mac и BitLocker для Windows. Некоторые устройства, такие как iPhone, делают это по умолчанию, но не все. Также требуйте от всех консультантов, чтобы они хранили данные на своих машинах в зашифрованном виде.
Установите программное обеспечение для защиты конечных точек на всех устройствах. Несколько примеров: Trend Micro, Sophos и Защитник Windows. Существуют специальные приложения для обеспечения безопасности конечных точек для телефонов и планшетов. Lookout является примером.
✔ Ограничьте доступ к приложениям на всех устройствах. Это означает ограничение диапазона приложений, которые могут быть установлены, и ограничение разрешений для этих приложений (например, ограничение доступа к спискам контактов или информации о местоположении и GPS, отключение режима «всегда активен»).

ЧТО ТАКОЕ ЗАЩИТА КОНЕЧНЫХ ТОЧЕК?

Конечные точки – это устройства, которые использует персонал, включая мобильные телефоны, портативные и настольные компьютеры. Они являются «конечными точками» сети кампании, а сотрудники – «конечными пользователями». Endpoint Protection централизованно контролирует и управляет безопасностью на удаленных устройствах. Это особенно важно для кампаний, которые разрешают сотрудникам использовать личные устройства (политика BYOD). Для кампании должны быть гарантии, что устройство безопасно, на нем нет вредоносных программ и данные могут быть стерты удаленно в случае кражи или потери. Защита конечных точек также может контролировать устройство, проверять, чтобы программное обеспечение обновлялось, и обнаруживать новые вредоносные программы или потенциальные угрозы. Для многих кампаний это будет похоже на существенный подъем и потребует усилий. Однако если включить все это в свою повседневную работу и заведомо потратить на это какое-то время, вы избежите многих проблем в будущем.

УЛУЧШЕНО: выполните следующий шаг

✔ Воспользуйтесь программным обеспечением для управления мобильными устройствами (MDM), которое отслеживает активность, и проверьте, чтобы все устройства соответствовали политикам безопасности мобильных телефонов и пользовательских устройств, которые вы установили для своей кампании. Примеры включают VMware AirWatch, Microsoft InTune и JAMF. GSuite и Microsoft Office 365 также включают службу MDM.
✔ Используйте службы расширенной защиты от угроз, которые отслеживают и предупреждают о вредоносной активности. Например, CrowdStrike Falcon или Mandiant FireEye. CrowdStrike иногда предлагает услугу предотвращения взлома Falcon бесплатно через Crowdstrike Foundation, в зависимости от потребностей вашей кампании и от правил финансирования кампании.

ШАГ 5: Сети

Сети – это система физического оборудования, цифрового программного обеспечения и их соединений. Они представляют собой еще одну потенциальную среду для атак со множеством целей. Сетевая безопасность включает в себя все: от настройки взаимодействия устройств друг с другом до использования облачных сервисов для хранения данных.

Уровень защиты ХОРОШИЙ: что нужно делать

✔ Используйте облако. Храните данные в облачных сервисах, а не на персональных компьютерах или серверах. Все, что хранится на личном устройстве, подвергается более высокому риску, чем данные в облаке.
✔ Никто не должен иметь доступ ко всем файлам в сети; учетные записи с полным доступом администратора не должны использоваться для повседневной работы. Разделите хранилище файлов на папки отделов и предоставьте соответствующий доступ для разных лиц.
✔ Проверьте, чтобы доступ к общему контенту был только по приглашению. Некоторые службы управления файлами также позволяют указывать срок действия приглашений и доступа.

Периодически выполняйте аудит, чем и с кем вы делитесь.

✔ Создайте отдельную «гостевую» сеть Wi-Fi для посетителей и волонтеров, которая ограничивает их доступ к ресурсам кампании. Попробуйте приобрести маршрутизаторы с «гостевым профилем», который автоматически сегментирует вашу сеть.
✔ Во время путешествий или до того, как вы создадите офис кампании, избегайте подключений к Wi-Fi в общественных местах и по возможности используйте надежные сети Wi-Fi. Если вам нужен мобильный Wi-Fi, попробуйте предоставить сотрудникам кампании точки доступа мобильного Wi-Fi для модема. Общедоступный Wi-Fi часто бесплатен, и к нему легко подключиться, но злоумышленники также могут использовать его для проникновения в ваше оборудование.
✔ Сотрудники должны, по возможности, использовать VPN (виртуальную частную сеть). VPN помогают защититься от злоумышленников при подключении к общедоступной сети Wi-Fi. Примеры услуг VPN – ExpressVPN или TunnelBear. Не все VPN-сервисы одинаковы. Остерегайтесь бесплатных сервисов: многие желают заполучить ваши данные!
✔ Защитите свой браузер. Журнал PC Magazine назвал Chrome и Firefox двумя самыми безопасными браузерами в 2017 году. Независимо от того, какой браузер вы используете, поддерживайте его обновления.

VPN

Виртуальная частная сеть (VPN) – это зашифрованный «туннель» для вашего интернет-трафика, скрывающий его от злоумышленников. Некоторые офисы используют его как способ удаленного входа в офисную сеть, но это не очень распространено для кампаний. Кампаниям следует позаботиься о том, чтобы их сотрудники использовали VPN на компьютерах и мобильных телефонах, если им часто приходится использовать общедоступный Wi-Fi или ненадежные сети. Особенно это актуально в случаях с путешествующими сотрудниками или полевыми офисами.

УЛУЧШЕНО: выполните следующий шаг

Вы можете предпринять еще более сложные шаги для защиты своей сети, но их реализацией должен заняться ИТ-специалист. Мы вам предлагаем попросить такого специалиста включить следующее:

✔ Настройте аппаратный брандмауэр.
✔ Зашифруйте свое Wi-Fi соединение с помощью протоколов безопасности WPA2 или 802.1x (не использовать WEP).
✔ Настройте облачные веб-прокси для блокировки доступа к подозрительным сайтам с любого устройства, принадлежащего кампании, независимо от того, где оно находится. Примеры поставщиков услуг: Zscaler, Cisco Umbrella и McAfee Web Gateway Cloud Service.
Храните журналы активности у поставщика облачных услуг, таких, как LogEntries или SumoLogic.
✔ Сегментируйте свое облачное хранилище, чтобы не все хранилось в одном месте. Исследования оппозиции, меморандумы о стратегии и файлы персонала должны храниться в разных папках. Доступ к этим папкам должен быть лимитирован группами людей, которые действительно в них нуждаются. Рассмотрите возможность полностью изменить систему хранения самой конфиденциальной информации вашей кампании.
✔ Ограничьте доступ, чтобы только ключевой персонал мог получить данные, и только при использовании определенных устройств. (Например, когда вы используете Microsoft365 для своего офисного пакета и хранилища документов, но ваши наиболее важные документы находятся в учетной записи Dropbox или Box.) Если участник кампании будет скомпрометирован, такая сегментация поможет снизить общий ущерб.
✔ Приучите свой персонал не подключать устройства к неизвестным портам или сторонним устройствам. Не используйте общедоступные зарядные устройства в аэропортах или на мероприятиях. Не пользуйтесь бесплатными зарядными устройствами для телефонов или аккумуляторами на мероприятиях (на этот бесплатный USB-накопитель может быть загружено вредоносное ПО!).

ШАГ 6: Информационные операции и общение с общественностью

В последнее время в новостях много говорится об информационных операциях, особенно о кампаниях, проводимых иностранными спецслужбами с целью повлиять на общественное мнение в Соединенных Штатах. Лидерам предвыборной гонки и политикам предстоит решать, как противостоять продвижению информационных операций. Мы, как сотрудники кампании, мало чем можем повлиять на то, произойдет такое продвижение или нет. Однако есть некоторые действия, которые мы можем предпринять, чтобы управлять ими, если они возникнут. Кампании были и будут оставаться объектами этих операций и должны быть к этому готовы. Защита способов коммуникации вашей кампании с общественностью – важная часть этого процесса. Ниже приведено несколько способов лучше защитить от информационных операций, определить, когда они происходят с вашей кампанией или кандидатом, и как быстро отреагировать, когда они действительно имеют место быть.

ЧТО ТАКОЕ ИНФОРМАЦИОННЫЕ ОПЕРАЦИИ

Информация – это сила. По крайней мере, так думают многие военные и спецслужбы! Сила идей долгое время подпитывала восстания, мятежи и гражданские войны. Многие страны, которые имеют худшее военное обеспечение в традиционном понимании, стремятся использовать информацию, чтобы разделить и заведомо оккупировать своих противников. В России, например, влияние на общественное мнение посредством пропаганды и усиление напряжения на местном уровне – часть доктрины ведения войны и то, что они постоянно практикуют в отношении предполагаемых противников. Социальные сети полностью изменили правила игры с информационными операциями. Теперь быстро передавать информацию и выдавать себя за других людей, создавая иллюзию общественного гнева или разногласий, проще, чем когда-либо.

Уровень защиты ХОРОШИЙ: что нужно делать

✔ Помните: информационные операции – это проблема коммуникаций, а не техническая. Злоумышленники могут выполнять еще более эффективные информационные операции за счет кражи ваших данных, но как только информация вы дет за рамки вашей среды, вам потребуется стратегия связи для управления ею. Заранее подумайте, как поступать с фейковыми или предвзятыми новостями – игнорировать? Опубликовать ретвит и подтвердить, что это ложь? Как вы будете принимать решение? Это одни из самых сложных решений, которые должна принять любая кампания, однако еще важнее обдумать заранее со своей командой и составить общее руководство о том, как именно реагировать, если вообще стоит отвечать.
✔ Знайте, что происходит. Призывайте активистов делиться сообщениями, сайтами или новостями, которые они считают подозрительными. По желанию, можете поручить нескольким стажерам или волонтерам сосредоточиться именно поиске, и изучить, какой есть контент. Одна из постоянных проблем – невозможно отслеживать все, что избиратели получают в своих лентах на Facebook. Платформа усложнила размещение политической рекламы и увеличила штат сотрудников для мониторинга новостного контента. Однако вы не можете выполнять поиск по всему контенту. Лучший способ решить эту проблему прямо сейчас – назначить команду волонтеров из разных географических и демографических групп в вашем штате / районе. Это позволит уловить как можно больше информации.
✔ Наладьте контакт со службами поддержки ключевых платформ социальных сетей и давайте им знать, если обнаружите ложную или вводящую в заблуждение информацию. Большинство платформ социальных сетей теперь удаляют «поддельный» или вводящий в заблуждение контент и профили самозванцев. Поинтересуйтесь у соответствующего комитета кампании или парии штата о наилучшем способе наладить контакты с платформами социальных сетей и сделайте это еще на раннем этапе кампании, чтобы быстро связаться с поддержкой, если что-то пойдет не так.

Facebook
Twitter
Google/YouTube

✔ Следите за сайтами-самозванцами. На сегодняшний день нет публичных сообщений о попытках самозванцев украсть деньги или данные активистов через поддельные веб-сайты. Однако это столь простой вектор атаки, что вы должны быть начеку. Обязательно выкупите любые веб-адреса, которые вы можете использовать (или могут быть использованы против вас). По желанию, вы можете нанять службу управления репутацией, которая будет следить за вашим имиджем в интернете. Некоторые оказывают такие услуги по довольно скромной цене.
✔ Защита от распределенной атаки типа «отказ в обслуживании» (известной как DDoS). DDoS-атака – это когда злоумышленник берет под свой контроль множество машин и использует их для одновременного «пинга» вашего веб-сайта, что приводит к сбою в его работе. В этом руководстве мы сосредоточились, в основном, на задаче, как не допускать людей лишний раз к данным вашей кампании. Однако в случае DDoS вы бы хотели, чтобы ваш веб-сайт оставался открытым и доступным для волонтеров и активистов. DDoS-атаки еще не стали распространенной угрозой для кампаний, но их можно использовать, чтобы заблокировать вас от сбора средств или просто спровоцировать действительно неприятный срыв вашей кампании. Есть два бесплатных инструмента, которые можно использовать для защиты своего сайта: Google Project Shield и Cloudflare.

ШАГ 7: Планирование реагирования на инциденты

Планирование реагирования на атаку так же важно, как и разработка стратегии безопасности для ее предотвращения. То, как вы реагируете, зачастую больше связано с окончательным исходом инцидента, чем с тем, что было скомпрометировано. Вам следует выделить время на стратегические встречи или более продолжительные собрания высшего руководства, чтобы обсудить, что произойдет, если что-то пойдет не так. Вот контрольный список шагов, которые следует предпринять:

ЮРИДИЧЕСКИЕ

✔ Выберите стороннего консультанта, который будет привлекаться для помощи в случае киберинцидента, и обсудите с ним процесс реагирования в самом начале кампании. В большинстве случаев это будет тот же человек, который представляет вашу кампанию по другим вопросам, но в идеале у вас должен быть кто-то, кто специализируется на реагировании на инциденты по вызову, либо на безвозмездной основе, либо с авансом в размере 0 долларов.
✔ Попросите своего юриста объяснить ваши юридические обязательства в случае кражи данных и какие меры по обеспечению соблюдения норм соответствия нужно принять.
✔ Понимайте юридические обязательства ваших поставщиков уведомлять вас или других в случае их взлома. По возможности включайте строгие требования об уведомлении в контракты с поставщиками, поскольку третьи стороны часто становятся источниками нарушения безопасности.
✔ Если вы считаете, что вас взломали, желательно, чтобы ваш адвокат проконтролировал ваш ответ в рамках тайны адвокатского и клиентского права.
✔ Поговорите со своим юристом о том, как лучше всего работать с правоохранительными органами в случае нарушения. Каждая кампания будет подходить к этому вопросу по-разному.

ТЕХНИЧЕСКИЕ:

✔ Заранее определите, к кому вы будете обращаться за технической помощью, если решите, что вас взломали. Как правило, варианты могут подбирать на собрании штата или национальным партийным комитетом.
✔ Назначьте кого-нибудь из участников кампании ответственным за связь с техническими экспертами в случае выявления нарушения. В идеале это тот же человек, который уже координирует ИТ для кампании. Управление реагированием на инциденты может оказаться сложной задачей. Поэтому необходимо, чтобы кто-то знающий сосредоточился на технических аспектах. Таким образом, вы можете заняться общением с заинтересованными сторонами и прессой.

ОПЕРАЦИИ:

✔ Заранее решите, кто будет в вашей группе реагирования на инциденты (IRT), и кто будет участвовать во встречах по реагированию на инциденты. Важно подключить кого-нибудь из ваших ИТ-отделов, юристов, специалистов по операциям и коммуникациям. Если у вас небольшая кампания и нет постоянной поддержки по связям, ИТ или операционной поддержке, запланируйте подключение любого ключевого персонала, который будет контролировать операции кампании.
✔ Определите цепочку подчинения для принятия решений в случае нарушения безопасности, особенно в отношении связи. Во многих случаях это будет менеджер кампании, но иногда менеджеры могут делегировать полномочия еще кому-то.
✔ Определите, какое приложение или технологию вы будете использовать для связи, если вам покажется, что ваша электронная почта была взломана (два распространенных варианта – Signal и Wickr). Поддержка коммуникаций после взлома очень важна, но не допускайте, чтобы злоумышленники узнали, о чем вы говорите, или о том, что вы делаете что-то в ответ на их действия.

КОММУНИКАЦИИ:

✔ Провести сценарное планирование. Для многих кампаний это может быть частью уже существующей стратегии. Для более крупных кампаний с повышенным риском может понадобиться специальное собрание. Планирование вашего сценария должно включать:
✔ Выявление ключевых внутренних и внешних заинтересованных сторон, таких как ваши сотрудники, волонтеры, доноры и сторонники. Знайте, с кем вам нужно связаться на случай инцидента, и расположите их в порядке приоритетности. Составьте список контактов и укажите, кто с ними свяжется.
✔ Проведите мозговой штурм по наиболее опасным сценариям и подумайте, какие изменения могут произойти со всеми заинтересованными сторонами и как поменяется обмен сообщениями при каждом отдельном сценарии. Различные сценарии могут включать:

Слухи о взломе вашей кампании;
Воровство данных кредитной карта или контактной информации ваших доноров;
Против вашей кампании работают программы-вымогатели или сделаны попытки вымогательства;
Ваши системы очищены от данных и выключены;
Чьи-то электронные письма украдены;
Ваш недоброжелатель украл учетные данные администратора и все файлы на диске вашей кампании.
Злоумышленник изменяет публикации на вашем веб-сайте или в публичных аккаунтах.

✔ Будьте осторожны, когда говорите в настоящем времени о политике кибербезопасности или киберинцидентах. Некоторые жертвы киберпреступлений сначала делали громкие заявления о своих собственных мерах безопасности или критиковали других, пострадавших от нападения. Пресса привлечет вас к ответственности за то, что вы сказали в прошлом, если вы станете жертвой.
✔ Точно так же избегайте раскрытия подробностей о масштабах события на ранних этапах инцидента (и, если вы можете вообще не обсуждать масштабы – это даже лучше). Подробности, доступные вначале, будут меняться по мере вашего расследования. Распространенная ошибка – сказать что-то, что позже окажется неправдой (например, «они не очень много украли» или «никакая личная информация не была взята»). Сказать только то, что вы знаете наверняка, – это самый безопасный вариант. Заявления должны базироваться на действиях, которые вы предпринимаете, чтобы исправить ситуацию для пострадавших заинтересованных сторон.
✔ Разработайте заранее шаблонный язык, чтобы вы могли быстро составлять заявления или тезисы для разговора, если произойдет инцидент. Как минимум, создайте простой документ вопросов и ответов, который вы можете быстро отредактировать, если вам действительно нужно его использовать. Заранее подготовив документ с вопросами и ответами, вы сможете подумать не одинаково и о том, что вы не скажете, и о том, что озвучите. Например, часто первым вопросом будет: «Что случилось?» Однако вы не сможете ответить на этот вопрос в течение нескольких дней или недель. Тот факт, что вы не знаете, какое именно нарушение произойдет, поможет вам заранее заготовить более точные стандартные ответы.
Вопросы, которые следует включить в документ вопросов и ответов:

Что произошло?
Как это произошло?
Кто сделал это?
Что было украдено или повреждено?
Была ли украдена чья-то личная информация? Что вы делаете, чтобы защитить их?
Как хакеры сделали это?
Хакеров больше нет в вашей системе?
Как долго они находились в вашей системе?
Какие меры безопасности у вас действовали? Почему они оказались не эффективными?
Разве вы не должны были знать, что это произойдет? Почему ваши системы не были защищены лучше?
Вы работаете с правоохранительными органами? С вами связались правоохранительные органы?
В случае взлома при помощи программы-вымогателя вас спросят: заплатили ли вы выкуп и почему да или нет?

✔ Оставайтесь на связи со своими ключевыми заинтересованными сторонами и старайтесь информировать их как можно лучше. Вы, скорее всего, не сможете многого сказать, но важными моментами будет поддержка регулярного общения с ними, чтобы донеси то, что вы знаете наверняка, четкое заявление о своих намерениях и подробное описание того, что вы делаете, чтобы справиться с ситуацией. Не ожидайте слишком частых новостей, потому что зачастую у вас не будет новой информации, и ваши заинтересованные стороны будут разочарованы, если вы не будете предоставлять им новой информации. Активно обращайтесь с представителями средств массовой информации только в том случае, если у вас уже есть новая информация.