Świat

Opowiedz nam swoją historię, niekoniecznie na Facebooku

Czy faktycznie wiemy, jak dobrze zbudować lojalną relację między organizacją a sygnalistą?

Gdy organizacja wysyła w świat komunikat, że chce współpracować z sygnalistami, zgadza się przyjąć odpowiedzialność za osoby, które na taki apel odpowiedzą. W cyfrowej rzeczywistości bezpieczną komunikację buduje się nie tylko dzięki odpowiednim programom i aplikacjom, ale także dzięki partnerskiej, opartej na lojalności współpracy między organizacją a informatorem.

Mieszanie informatorów w publiczną kłótnię na fejsbukowe oświadczenia nie pomaga w budowaniu takiej współpracy. Niestety chyba nie wszyscy zdają sobie z tego sprawę. Kiedy Jan Śpiewak po rezygnacji z członkostwa w Stowarzyszeniu Miasto Jest Nasze odmówił przekazania uprawnień administratorskich do fejsbokowego profilu stowarzyszenia, decyzję swoją motywował właśnie troską o informatorów:

Prowadziłem fanpejdż MJN od samego początku – na półtora roku przed powstaniem stowarzyszenia. Działając w trosce o bezpieczeństwo naszych informatorów nie miałem innego wyjścia. – to fragment oświadczenia Jana Śpiewaka, w którym tłumaczy dlaczego nie oddał dostępu do profilu. W odpowiedzi Stowarzyszenie wydało swoje oświadczenie: Za absurdalne uważamy uzasadnianie przywłaszczenia sobie głównego kanału komunikacji organizacji, jakim jest profil na Facebooku, rzekomym „dobrem informatorów”. Profil na Facebooku z definicji służy do komunikacji publicznej, a nie poufnej, a do kontaktów z informatorami wykorzystujemy inne, odpowiednio zabezpieczone kanały i procedury.

Dzięki Janowi Śpiewakowi wiemy już, jak tego nie robić. Ale czy faktycznie wiemy, jak dobrze zbudować lojalną relację między organizacją a sygnalistą? Gwarantem ochrony danych informatorów powinien być przyjęty przez organizacje standard bezpieczeństwa. Powinien on być znany zarówno wewnątrz organizacji, jak i osobom, które się z nią kontaktują – gdy tak jest, to publiczne oświadczenia nie są potrzebne. Taką strategię przyjęło choćby Oko.press. Na swojej stronie informują o możliwości kontaktu z redakcją za pośrednictwem bezpiecznej i anonimowej platformy GlobaLeaks. W obszernym tekście potencjalny sygnalista znajdzie szczegóły procedury bezpieczeństwa przyjętej przez redakcję. Dzięki temu ma szanse ocenić ryzyko, które podejmuje, kontaktując się z nią. Dużym plusem jest również to, że na stronie Oko.press można znaleźć konkretne porady na temat ochrony prywatności. Dzięki temu informator nie musi biernie poddawać się „ochronie”, ale zostaje raczej zaproszony do współpracy, w ramach której obie strony lojalnie zobowiązują się do dbania o bezpieczeństwo komunikacji.

Jak w sieci stajemy się towarem

Rozwiązania przyjęte przez Oko.press to tylko pierwszy z brzegu przykład dobrych praktyk, a nie gotowe rozwiązanie, które musi się sprawdzić w każdej organizacji. Ich skuteczność zawsze będzie zależała od warunków politycznych, geograficznych i finansowych, z którymi na co dzień mierzy się organizacja. Nawet pozornie bezpiecznie narzędzie może szkodzić. By dokonać właściwej jego oceny, potrzebna jest wiedza. Między innymi o tym, kto i na jakich zasadach kontroluje wybrany kanał komunikacji, kto i w jakim celu wyprodukował dane urządzenie, kto i na jakich zasadach ma dostęp do danych, które gromadzimy.

Od 2013 roku szwedzka organizacja Civil Rights Defenders rozwija Natalia Project, czyli system ochrony obrońców praw człowieka. W jego ramach stworzono specjalne bransoletki, które w sytuacji niebezpieczeństwa wystarczy otworzyć lub zerwać. Wysyła ona wówczas sygnał GPS, który natychmiast dociera do Sztokholmu, a następnie w ciągu kilku minut informacja o zagrożeniu rozchodzi się po sieci wsparcia i trafia do mediów społecznościowych. Choć bransoletka przeszła odpowiednie testy, a jej produkcja jest kontrolowana przez obrońców praw człowieka, nie jest to rozwiązanie idealne. Działanie bransoletki opiera się na sieci telefonii komórkowej, którą monitoruje lokalny dostawca – w efekcie sygnał GPS odbierany przez bransoletkę może być monitorowany. Do tego jej produkcja jest bardzo kosztowna i w tej chwili tylko 98 osób ma do niej dostęp. Jest to też duże urządzenie, noszone w widocznym miejscu – oprawcy natychmiast ją zauważą.

Inne wady ma rozwiązanie, które rząd Kolumbii zaproponował lokalnym aktywistom i dziennikarzom. Na pierwszy rzut oka wygląda to super – 400 osób otrzymało od kolumbijskich władz urządzenie z funkcją „panic button”. Tymczasem w 2017 roku niezależne organizacje przeprowadziły audyt bezpieczeństwa tych urządzeń. Lista zarzutów jest długa: wbudowany mikrofon, o którym aktywiści nie wiedzieli, możliwość aktywacji mikrofonu za pomocą smsa, wbudowany GPS, który cały czas wskazuje lokalizacje użytkownika. No i jeszcze kraj pochodzenia: Chiny.

Inwigilacja to model biznesowy internetowych korporacji

Jak widzimy, świadomy wybór narzędzi, tworzenie procedur i trzymanie się ich mogą ograniczyć ryzyko wycieku zbieranych danych, ale całkowicie wyeliminować się go nie da. Nie ma systemu, który da nam 100% gwarancje bezpieczeństwa. Skoro tak, to może zostańmy już na tym Facebooku? Przynajmniej jest łatwiej i wszyscy tam są. Otóż nie.

Skoro tak, to może zostańmy już na tym Facebooku?

Używanie Facebooka do komunikacji wrażliwej to szaleństwo – komentuje Wojtek Bogusz, z którym udało mi się porozmawiać na ten temat. Pracuje w organizacji Front Line Defenders współpracującej z obrońcami i organizacjami praw człowieka, które znajdują się w sytuacji ryzyka. Na co dzień zmaga się z problemem ochrony komunikacji oraz danych w organizacjach pozarządowych na całym świecie. Wśród najczęściej popełnianych przez organizacje błędów Wojtek Bogusz wymienia bezzasadne chomikowanie nieodpowiednio zabezpieczonych danych, brak standardów bezpiecznego komunikowania się w sytuacjach, gdy aktywista jednak próbuje skontaktować się z organizacją przez Facebooka oraz brak procedury działania na wypadek wycieku informacji. W sytuacji kryzysowej, gdy brak jest przemyślanego i spisanego planu działania, łatwo o panikę i nieprzemyślane decyzje.

Nasza skrzynka mailowa nie powinna być kartoteką, a profil na Facebooku bazą danych

Co z tego wszystkiego wynika? Zbierajmy tylko te dane, których naprawdę potrzebujemy. Po co prosić informatora o numer telefonu, jeżeli nie mamy zamiaru do niego dzwonić? Nie bójmy się kasować rzeczy w naszych komputerach i telefonach. Zwłaszcza starych maili od informatorów. Nasza skrzynka mailowa nie powinna być kartoteką, a profil na Facebooku bazą danych – naprawdę niewiele potrzeba, by utracić do niej dostęp. Istotne wiadomości należy kasować z Messengera, a z nadawcą komunikować za pośrednictwem innych kanałów. Listę aplikacji, które dbają o prywatność swoich użytkowników, można znaleźć tutaj.

Walka o bezpieczną komunikację przypomina grę w zaklejanie niewidocznych dziur. W Internecie nie brakuje sprawdzonych instrukcji, które tłumaczą, jak w nią grać. Warto ich poszukać na stronach takich organizacji jak Fundacja Panoptykon, Tactical Technology Collective czy Electronic Frontier Foundation.

Standard bezpieczeństwa można traktować jako zbiór uciążliwych procedur oraz konieczność sięgania po narzędzia, które wymagają od użytkownika większej wiedzy i umiejętności niż Facebook. Ale gdy stawką jest ochrona życia lub wolności, wygoda nie powinna być najważniejszym argumentem. Lojalność wobec informatorów nie może przegrywać z „innymi priorytetami” lub po prostu lenistwem.

Komentarze

Uzupełnij wszystkie pola w formularzu.
Nie wystarczy wiedzieć - trzeba rozumieć.Wspieraj nas!