Изображение: Катрин Вирджиния Искате ли да протестирате срещу мръсния запис на вашата компания за сексуален тормоз? Мислите ли да се обедините? Ето ръководството за дънни платки за сигурна организация на труда.Преди дори да помислите какво трябва и какво не трябва да правите, или какви технологии трябва или не трябва да използвате, запитайте се: познавате ли вашата компания?
С други думи, има ли вашата компания история на провал на синдикатите, политики за борба с работниците или обща неприветливост към работниците, които организират или изразяват загриженост? Или, от друга страна, исторически ли се е поддавало на работниците, които се застъпват за правата си? Невъзможно е да се предвиди бъдещето, но наличието на обща представа за това, срещу което се изправяте, е в основата на призива на професионалния киберсигурност моделиране на заплахи . Това е основата на всеки добър план за оперативна сигурност - или OPSEC.
Като част от това усилие може да е добре да разберете къде стоят и вашите колеги. Както се изразиха работниците, организиращи в Microsoft: Опознайте колегите си организатори!
Ако бихме могли да съкратим това ръководство с едно изречение, то би било „Избягвайте фирмената инфраструктура“. Под това имаме предвид компютри, телефони, принтери, софтуер за чат и електронна поща. Но също така избягвайте да обсъждате трудови действия на физически места като заседателни зали, кафенета или баскетболни игрища.
Това може да звучи трудно, но използването на фирмена инфраструктура за организиране е рисковано и може да даде подсказка на ръководството за предстоящия ви организиращ диск, отворено писмо, излизане или друго работно действие. Малко вероятно е вашата компания да души активно интернет трафик или да наблюдава компютри в реално време за някакво бърборене за създаване на синдикат или организиране на някакъв вид трудова акция. Но няма гаранции.
Това е най-лесният начин за вашата компания да ви следи. Трябва да приемете, че ИТ и други в управлението имат достъп до вашата корпоративна електронна поща. И дори да не могат да го четат всеки ден, вероятно могат да го прочетат след факта. Затова избягвайте да използвате корпоративна електронна поща на всяка цена. Наскоро Google уволни служители, които в някои случаи имаха достъп корпоративни календари че компанията счете за необичайна.
Всяко трудово действие вероятно трябва да започне със събиране на лична информация за контакт на работниците, като личен имейл адрес и номер на мобилен телефон. Използвайте тези, за да общувате.
НЕ ИЗПОЛЗВАЙТЕ КОМПЮТЪРИ НА КОМПАНИИ ИЛИ ДРУГИ УСТРОЙСТВА
Както Холмс предупреди, повечето компании имат начин за достъп до лаптопите на работниците и може би дори до техните корпоративни телефони. Затова се опитайте да избягвате използването им. Използването на персонален компютър на WiFi на компанията не е толкова опасно, но ако можете, избягвайте и това и се свързвайте от дома.
Работниците, ангажирани с организирането в Amazon, предлагат да не се включват всички документи и разговори, които не са публични, на работния ви компютър.
Ако стоите далеч от инфраструктурата на вашата компания, вече сте свършили повечето от това, което ви е необходимо, за да осигурите вашите организиращи дейности. Но за всеки случай се опитайте да избягвате Slack или други услуги за чат, които не са криптирани и не ви дават голям контрол върху това кои данни се запазват. Компаниите имат възможност да четат архиви на Slack, включително DM. Също така си струва да се спомене, че по подразбиране платените акаунти в Slack запазват съобщенията за неопределено време.
Алтернативни приложения за групов чат като Keybase и Wire не само защитават вашите съобщения при транспортиране, но също така ви позволяват да настроите съобщенията да се самоунищожават след определен период от време. Това помага да покриете следите си.
Полезно напомняне за поверителността от автоматичния бот за подсказки на Slack.
Внимателно поставени течове или съобщения за пресата, които предупреждават журналистите за вашето профсъюзно движение или колективно действие, могат да помогнат за вашата кауза. Ако ще изтечеш в пресата, запознайте се с това, което означават термините „в записа“, „извън записа“ и „на заден план“.
Ако се свържете с журналист или говорите с него, нещата, които им кажете, по подразбиране са в записа. Това означава, че журналистът може да цитира и използва тази информация и да ви я приписва с вашето име. „Незаписано“ означава, че журналистът може да разполага с тази информация от собствено знание, но не може да я публикува, без да я потвърждава с друг източник, и не може да я приписва на вас. Те имат право да вземат тази информация и да се опитат да накарат някой друг да я предостави в записа. „На фона“ означава различни неща за различните хора - често това означава, че репортерът може да използва информацията в статията си, но не и да я приписва на вас. Други хора го използват, за да означават „може да бъде цитиран анонимно“. Най-добре е да поговорите с репортера, преди да споделите информация.
Можете да обсъдите анонимно споделяне на информация или анонимно да правите интервюта с репортер. В дънната платка ние предоставяме на анонимността на източниците, ако тяхното говорене с нас би ги изложило на физическа или професионална опасност. Изискваме от нашите репортери да казват на читателите защо предоставяме анонимност на източника; ако източникът може да бъде уволнен от работата си, защото е говорил с нас, ние често ще предоставим анонимност. Ще знаем самоличността на източника - по-често, отколкото не, се нуждаем от тази информация, за да сме сигурни, че разговаряме с някой, който е в състояние да знае за разглеждания проблем - но ние няма да публикуваме или разкрием по друг начин кой е лицето е.
Най-добре е да сте наясно с репортера преди споделяте каквото и да е за това как искате информацията да се използва - ако кажете нещо „в записа“, не можете да го изключите със запис с обратна сила. (Това е да се гарантира, че някой не може да се откаже от информацията, която е казал, че е в обществен интерес, но да промени мнението си за). Тези условия трябва да бъдат съгласувани и от двете страни, така че не се обръщайте към куп репортери с информация, която искате да споделите „извън протокола“, ако тези репортери вече не са се съгласили да не записват с вас.
Често работниците искат да споделят с пресата вътрешни документи, имейли, бележки или други фирмени материали. Има няколко начина за това. Най-лесно е да направите снимка на екрана на компютъра си с камерата на личния си телефон и да споделите изображенията, които вземете като изчезващо съобщение в Signal. След това изтрийте изображението от телефона си и потенциално номера на журналиста от вашите контакти и история на съобщенията. Можете също да използвате SecureDrop. Ако анонимността е важна за вас, не препращайте фирмени имейли, които възнамерявате да изтече на журналисти, ако смятате, че бихте могли да бъдете уволнени заради това.
Всичко това може да звучи много, но много от тактиките в това ръководство стават второстепенни с практиката. Препоръчва се и практикуване на най-добрите практики за киберсигурност. За повече информация можете да разгледате Ръководството на дънната платка да не се хаквате.
Абонирайте се за нашия подкаст за киберсигурност, КИБЕР .